乐鱼体育vip注册下载:火绒安全实验室：鲁大师等软件涉足“灰产”

乐鱼 vip:

  近日，火绒安全实验室发布技术报告：《“捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持黑幕！》，火绒安全实验室报告数据显示：“有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现”。此份报告发布后引发广泛关注，根据火绒官网显示，截止发稿前这份报告已经有超过12万人的浏览量。

  火绒安全实验室此次曝光了：成都奇鲁科技（鲁大师）、天津杏仁桉科技、重庆赫赫有盾科技等多家公司。他们通过云端控制推广内容、动态调整行为，并利用加密通信、地理识别及环境检验测试等手段规避安全软件与专业技术人员监测。火绒发现，该模块会检测电脑是否安装杀毒软件、是否位于北京、甚至是否访问过技术论坛或安全领域网站，甚至是否买过相关软件的VIP会员，以决定是不是执行推广操作。

  据火绒分析，该模块可进行浏览器劫持、静默安装、弹窗广告等行为，部分软件会在用户“关闭”按钮后仍继续安装其他程序，从而构成隐蔽的“流量变现”灰产链。

  当前，网络已成为工作、学习、消费、社交等各类日常活动的重要支撑，部分厂商依托这一普遍的上网常态加大推广力度，因此用户需提高警惕，防范各类隐蔽的流量劫持及恶意推广行为。

  近期，火绒安全实验室监测发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广传奇类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。

  尽管流推广向来是网络公司常用的盈利模式，然而这些厂商却运用了多种技术对抗手段，以阻碍安全分析与行为复现，蓄意隐匿其损害使用者真实的体验的行为。

  它们在未充分向用户告知或故意模糊告知相关情况的前提下，利用用户流量进行变现操作。通过伪装成正规应用的方式，与用户“捉迷藏”，使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督，逃避公众审查。

  在对其恶意行为进行监控分析的过程中，一张由幕后人员精心编织的产业网络逐渐浮出水面。数十余家不同时间、不一样的地区注册的公司通过隐蔽的关联关系相互连接，利用隐藏的结算体系进行利益输送，并通过极其相似的云控模块向用户终端推送各类推广产品。为了逃避监管和技术追踪，这一些企业采用了数据加密、代码混淆、动态加载、多层跳转等多种技术对抗手段。

  根据火绒安全情报中心的统计数据，大量软件包含本文所述的推广模块。下图中列表列出的软件被发现与本次威胁具有较强相关性（包括但不限于）：

  在收集本次威胁情报相关信息的过程中，我们得知了一系列相关的网络活动痕迹。其中，围绕天津杏仁桉科技有限公司及其域名quot;，产生了大量网络活跃数据。

  1.2 背后隐藏的利益输送关系借助外网搜索引擎不难发现由天津杏仁桉科技提供支持、搭建于重庆赫赫有盾科技有限公司等多家公司服务器下的杏仁桉推广结算系统后台，证明了背后围绕天津杏仁桉科技形成的推广结算利益输送链条。在本次威胁情报对应的推广插件中，也大量发现与：对应的服务器之间的数据传输。

  在收集天津杏仁桉科技相关信息的过程中，我们得知其域名下搭建了一个用户中心系统，该系统仅允许以quot;为后缀的邮箱注册使用。经查证，域名归属于成都奇鲁科技有限公司，这直接证明了两家公司之间有密切的业务关联。

  在收集天津杏仁桉科技域名quot;有关信息的过程中，我们得知了一个曾面向外网开放的程序自动构建网站，有关信息被搜索引擎快照收录保存。

  该网站托管了多款软件的源码并实现自动构建，包括但不限于：天津简诚出品的小蓝鸽、大力文件粉碎，重庆赫赫有盾出品的DXRepair，天津欣远出品的花瓣护眼等软件，以本次威胁情报中涉及的一系列推广模块。这进一步证实了这一些企业之间的技术协作关系。

  而通过对提交构建请求的邮箱的进一步溯源，我们在成都奇鲁科技有限公司面向外网开放的quot;企业邮箱系统中发现了对应人员信息。这些人员主要提交了重庆赫赫有盾科技有限公司等公司旗下软件的构建请求。

  值得注意的是，天眼查系统显示成都奇鲁科技有限公司与重庆赫赫有盾科技有限公司之间无任何工商关联关系，但技术层面的关联证据清晰可见。

  在对本文列表中所涉及的小鸟壁纸软件开展溯源分析时，我们在外网存储的数据里发现了小鸟壁纸系列新产品的相关日志，其中记录有大量该相关这类的产品的售后日志。

  在相同地址存储的文件中，发现属于成都盈畅时代文化传播有限公司的域名quot;下的一系列商品推广链接记录。

  而当访问网站quot;时，会进入一个小鸟壁纸软件的下载页面，网站下方的版权文字显示属于奇鲁科技有限公司和quot;。

  基于上述信息，我们基本可构建出一张隐匿于背后的庞大关系网，该关系网将看似毫无关联的数十家公司连接起来，其背后暗藏着利益输送与技术输送的纽带，完成最终的推广业务。

  【二】溯源技术溯源分析作为威胁情报分析中很重要且不可或缺的环节，火绒始终秉持合规原则，从公开可查的渠道获取溯源信息。本节文字中，将对本文溯源所采用的信源与技术予以介绍。2.1 收集相关企业名称

  在火绒安全情报系统中，我们通过建立规则的方式收集与本次威胁情报相关的样本关键信息。根据样本关键信息从样本库中提取相应的样本以及其来源，我们获得了大量使用本次威胁情报中涉及到的推广模块的数字签名信息，从样本数字签名中提取的详情信息中，能够得到与本次威胁情报相关的大量厂商名称，从而得到1.1节中的软件列表图。

  通过天眼查网站提供的企业信息查询能力，我们人工收集并汇总了所有相关企业的联系方式，邮箱和官方网站信息，并且通过程序自动化方式对收集到的信息进行整理形成图表，从而得到1.1节中的关联信息网状图。

  通过搜索引擎对相关的情报进行搜索，可以查询到本文涉及到的内容对应的网站信息。

  例如在必应搜索引擎中搜索杏仁桉推广关键词，可以查询到1.2节中的杏仁桉推广结算系统。

  在友商平台中根据天津杏仁桉域名quot;进行有关信息搜索，可以查询到1.2节中只允许鲁大师邮箱注册的用户中心系统所在域名。

  根据天津拂云科技有限公司法人刘科的杏仁桉域名邮箱在搜索引擎中进行搜索，可以搜索到其提交代码对应的一个自动构建网站记录。

  再针对该网络站点进行搜索所有提交记录的邮箱地址，不难发现有关人员的QQ邮箱。

  通过对 QQ 邮箱进行对应搜索查找相关 QQ 账号，发现该 QQ 昵称由较为特殊的三个字构成，据此推断此昵称可能为姓名。进一步访问网站，利用其找回密码功能获取信息，发现所得到的手机尾号与通过 QQ 找回密码流程中显示的尾号一致。综上所述，基本能判定为同一人。

  当在搜索引擎中以关键词“360wallpaper_bird”搜索小鸟壁纸安装包时，可以查询到一个记录了一系列工作日志的网站信息，即1.4节中提到的外网工作日志。在网站中，可见1.4节中提到的一系列信息。

  为了防止其具有争议性的推广行为被技术人员分析发现、被公众舆论讨论揭露，躲避自动化分析软件的监控和拦截，隐藏背后编织的巨型利益输送网络，这些推广模块采用了多种技术对抗手段。它们通过云控配置实时调整自身行为，专门规避技术人员等高危群体，精准针对普通用户投放。推广模块会按照每个用户的系统环境、地理位置、使用时长、是否充值等多维度信息判断用户价值，仅对安全目标、小白用户启动推广行为，使推广行为更加隐蔽。

  地区相关：以鲁大师为例，软件会按照每个用户所在地区针对性的投放推广云控配置。测试得出，对北京地区的用户会减少或不下发推广相关的云控配置。

  渠道相关：有些软件会专门区别用户是否从软件官网下载，并且针对从非官网渠道下载的用户推送推广云控配置，而官网用户将会减少或不下发推广相关云控配置。

  用户相关：以鲁大师为例，获取云控时会通过遍历检测当前系统信息的方式判断是否为技术人员、是否在虚拟机中、是否为业务会员等有关数据，从而针对性调整云控配置。

  为了实现其推广目的，掇取用户流量价值，相关软件实现了多种多样的推广方式：

  推广模块以可动态载入的插件的形式存在，从而使得大部分推广策略都可以在云端动态调整。下图中展示的内容为鲁大师软件中包含的部分推广方式。

  为与用户及监管进行捉迷藏，软件采用多种方式以规避各类情形。

  自上次监控到重庆赫赫有盾科技有限公司开发的软件DXRepair利用云控下发推广配置以来，火绒安全情报中心一直持续关注相关威胁情报的动向。外网多个方面数据显示，包含类似推广模块的软件仍在大量传播。其中，一款名为TabXExplorer的软件同样会弹窗安装软件并劫持浏览器，其签名信息数据显示来源为成都奇鲁科技有限公司。

  鲁大师作为在国内具有极高传播度的硬件检测软件，许多用户在新购置电脑时会安装此软件，用以开展跑分测试并查看硬件信息。然而，用户很难预料到，这一看似正常的使用行为，会在未得到充分告知或被故意模糊告知的情形下，使自己的电脑沦为相关企业的“流量变现工具”。

  本次主要围绕鲁大师软件展开技术分析，并提出该系列推广软件的共性。在溯源过程中，我们得知小鸟壁纸等软件同样包含类似的推广模块，其中Lua脚本执行模块和云控配置请求模块是这些带有推广插件的软件的共同特征。

  在软件中通常有一个控制大部分推广行为的云控配置，下文中称为总体云控配置，在该配置中包含大部分的推广相关配置。

  本次分析中，所有软件的推广模块基本采用相同的加密方式：使用BlowFish 算法对原始数据加密，再通过 Base64 算法编码后进行数据收发。解密操作主要发生在以下场景：

  接收服务器云控配置、解析云控配置字段值、下载Lua 脚本、读取软件中以加密形式存储的配置文件。

  分析过程中发现，推广模块在获取云控配置时也会进行规避，按照每个用户地区和下载渠道筛选推广目标，避免向高风险用户投放从而规避可能的风险。

  云控配置包含大量推广相关参数。通过测试发现，非北京IP与北京IP获取到的配置存在非常明显差异，通常非北京IP会收到更多的推广配置，具体对比如下所示。

  在获取京粉佣金链接时，系统同样会对北京IP进行规避。例如，北京IP获取的云控配置中d_url 字段为空，而太原等别的地方的IP则会返回该字段的具体值，如下所示。

  一般情况下，其他公司的官网渠道代号为home，鲁大师的官网渠道代号为ludashi。经过多次测试发现，通过官网渠道下载的软件在推广行为上会有所收敛：减少或不下发推广相关的云控配置，又或者在安装包中减少或移除推广模块。

  例如，迅读PDF 大师会根据访问官网时的URL参数动态切换安装包下载地址。官网渠道提供的安装包不包含推广插件，而其他渠道的安装包则内置推广插件。

  请求云控配置时，客户端会上报环境检验测试数据，包括：sr（杀毒软件）、vm（虚拟机）、vip（会员状态）、advance（360 广告弹窗开关与弹窗拦截开关）、dev（技术人员检测）等信息，服务端据此动态下发差异化的推广配置。

  除了云控请求时会附带会员状态，在部分Lua脚本中也会检测是否为会员或充值，若充值过鲁大师尊享版会员则会在配置文件ComputerZ.set 中设置 rc_flag键值为1，随后在Lua 脚本中检测会员状态从而规避。

  dev（技术人员）：通过以下程序是否运行来判断当前用户是否为开发者等技术人员，从而使dev 字段设置为 1。

  规避代码不止在推广模块中执行，也在Lua 脚本中执行，且不同公司和软件拥有不同的规避手段。下面将介绍分析过程中发现的规避手段。

  在规避虚拟机环境时，推广模块会调用Basic.tpi（Lua 解释模块）中的 LuaSystemFactory.VirturalMachineName 函数进行仔细的检测。该函数通过 CPUID 指令实现虚拟机识别：首先传入 EAX=1，检查返回值的第 31 位是否为 1，若为 1 则表明运行在 Hypervisor（虚拟机监控程序）环境中；随后传入 EAX=0x40000000 读取虚拟机厂商标识，从而精确识别虚拟机类型。

  多数软件中的推广模块及Lua 推广脚本会检测浏览器历史记录，以规避特定人群。检验测试的内容包括历史记录中的页面标题和访问网址。

  标题：系统会匹配历史记录中的页面标题，检测是否包含劫持、捆绑、流氓软件、自动打开等关键词，一经发现则停止向该用户推广，以规避曾搜索过此类内容的用户。

  访问网址：匹配历史记录中访问网址中是不是真的存在以下内容，若存在则会选择不推广。

  投诉类网址：例如（全国 12315 平台）、（北京市消费者协会）等网址。

  值得注意的是，在劫持浏览器的过程中，会对用户是否访问过周鸿祎的微博进行仔细的检测，若检测结果为已访问，则不会进行推广。

  部分脚本会运用反向规避策略，对用户是不是真的存在玩游戏、观看视频、使用搜索引擎、下载软件等正常浏览行为进行仔细的检测。若用户的历史记录中缺乏这些常规活动的痕迹，便会将其判定为非正常用户（例如处于安全分析环境中的用户、测试账号等），并停止推广操作。

  系统会检测杀毒软件的安装情况，包括火绒、卡巴斯基、360安全卫士等。检测结果在不同脚本中会触发不同的处理逻辑。例如，主页防护模块的更新脚本采用反向逻辑：只有检测到杀毒软件时才会继续更新，若未检测到则不更新。

  系统会检测是否安装了IDA、Visual Studio、Fiddler 等技术分析和开发工具，若检测到则停止推广，以规避技术人员和安全研究人员。

  系统通过检测窗口类名来识别控制面板并进行规避。该窗口检测逻辑与DirectX 强力修复软件中的 wsadd.pln 模块实现方式一致。（文章《流氓联盟欺软怕硬，多链路恶意推广》中检测控制面板窗口的逻辑，相关链接见文末。）

  系统会检测任务栏图标数量是否不小于5个，以此规避常驻进程较少的测试环境或虚假用户。

  浏览器插件安装脚本采用延迟触发机制：脚本每天尝试执行一次，但需要在软件安装7天后才会真正执行安装操作，且每次成功安装后还有180天的冷却期。

  任务栏图标推广脚本，会根据软件安装时长设置不一样的冷却期。以鲁大师为例：其官网渠道需等待24小时后才会进行推广，而 lx_store（联想应用商店）渠道则无冷却期，安装后会立即推广。

  系统会检测浏览器中是否安装了淘客助手类插件，若检测到有则会停止推广，避免向推广从业者投放。

  Lua 推广脚本的基本功能包括：下载并加载浏览器插件安装模块、通过任务栏图标闪烁推广传奇页游、下载并更新自身组件。

  根据测试中获取到的云控配置，推广模块会进行多种流量劫持操作。例如，识别到用户访问京东链接时会额外跳转至红包领取页面以获取推广佣金；识别百度搜索链接时会在URL中添加 tn 渠道标识参数以获取搜索推广分成；以及其他类似的流量劫持变现行为。

  4.根据云控配置浏览器弹出百度搜索框与传奇页游框：

  下文将与之前发布的DirectX 强力修复分析报告《流氓联盟欺软怕硬，多链路恶意推广》作对比分析。

  其与DirectX 强力修复分析报告中的runext.pln 插件类似，都是通过0x1401 和 0x1402 消息数据传输，也同样拥有EventId（控制脚本执行方式） 、缓存和下载以及执行的机制。（详见《流氓联盟欺软怕硬，多链路恶意推广》文章中runext.pln 脚本执行模块章节，相关链接见文末。）

  原先DirectX 强力修复中脚本种类主要有弹窗推广与任务栏闪烁推广，但在此次鲁大师分析中发现还有 Dll 下载与加载和组件更新类脚本。

  该类样本具备下载并加载任意DLL的能力。本次发现的云控配置即利用该功能分发浏览器插件安装模块，目前仅在鲁大师环境中观测到此类脚本。

  该浏览器插件安装模块支持Chrome、Edge、Firefox、360安全浏览器等主流平台。所安装插件多为日历、记事助手等日常工具，但其中暗藏篡改URL参数及页面重定向功能。

  该脚本会先通过80% 随机概率、冷却检测、付费用户检测、技术程序检测、虚拟机检测、杀毒软件检测、控量、浏览器支持检测、历史记录检测、浏览器插件等检测，若全部通过则开始安装插件。

  其中浏览器插件的检测是通过脚本中插件清理模块（bp_clean）中的 CheckPluginExist 函数进行仔细的检测，其中原理是遍历上述浏览器支持列表中所有 extensions 插件文件夹，检测其中是否有指定插件 ID，本次所规避的是淘客助手类浏览器插件（aokheaddinafdmjphkjlnachkejgleao）。

  随后开始安装插件，利用的是插件安装模块（bp_deploy）中 install 导出函数，随后传入参数 hvsLi6Wy118.190.130.219，以获取插件数据，随后发现该域名与小鸟壁纸相关。

  随后开始下载并将插件安装好后，其background.js作为推广脚本，会在用户访问网页时执行参数添加或页面重定向等操作，以实现推广目的。

  当用户使用百度搜索时，插件会自动设置tn参数。其参数值通过访问时间戳}，随后从获取到的云控配置中的百度配置中获取渠道标识。

  该类脚本经常用于推广传奇微端，以闪烁图标诱导用户点击，随后规避软件并进行网页弹窗或静默下载安装传奇微端。该类脚本在DirectX 强力修复中就已存在。（详见《流氓联盟欺软怕硬，多链路恶意推广》文章中传奇微端推广章节，相关链接见文末。）

  该类脚本通过设置虚假关闭按钮诱导用户交互，无论用户点击关闭按钮或触发超时机制，均会执行推广软件的下载安装流程。该行为模式与DirectX强力修复工具类似，而后者在用户点击不再提示时会执行卸载操作，点击关闭按钮则会默认保持安装状态。（详见《流氓联盟欺软怕硬，多链路恶意推广》文章中夸克弹窗推广章节，相关链接见文末。）推广软件会存于云控配置的push_soft_slow字段中，系统会自动选择最高价格的软件来安装。但在测试环境中该配置字段为空值，推测是由于条件未触发或服务端暂未下发有效配置。

  该插件为鲁大师特有插件，其行为与上述弹窗假关闭按钮安装Lua脚本一致，均通过虚假关闭按钮和超时机制触发静默安装。其主要推送SecretCipher、LionProtect等软件（注：DirectX强力修复未包含此插件）。安装时，通过添加静默参数及隐藏开始菜单之类参数实现隐蔽执行，使用户点击关闭按钮时无法感知安装进程的启动。安装好后，SecretCipher等软件将根据云控配置执行推广任务，其通过任务栏闪烁等方式诱导用户点击传奇游戏微端等推广内容。

  原理：程序通过调用carry_flow.tpi 的 CreateTrayClient 初始化托盘客户端，随后加载 traffic_common.dll 并执行 CreateInterface 函数完成模块初始化；随后拉取云控配置并选择推广软件，当用户交互触发后，无论点击关闭或安装，均会进入安装软件流程，最终执行安装流程。

  云控配置：下图为整体云控配置中的弹窗安装相关配置，其中包含close_install、timeout_install 之类的安装开关，分别为是否允许点击关闭按钮安装和超时安装。

  1.关闭按钮：当云控配置为close_install 为 1 的时候会被安装。

  云控配置触发冷却时间检测：从ConfigCenter 获取到云控配置后，其会发送0x8100 消息以触发检测冷却时间，随后通过 SetTimer 设置 ID 为 0x64 的计时器等待冷却结束，最后执行环境规避检测。

  而在index.html 文件加载的 JavaScript 脚本中实现了该搜索框的细节，其中能够正常的看到点击搜索按钮时会利用百度搜索附加渠道标识参数进行跳转。

  多种规避方法：进程检测、安装软件检测、历史记录检测、VIP检测、反馈人群检测、浏览器 F12 开发者工具检测。

  下图为云控配置中出现的black_url与black_title字段，根据其命名及所列网址和标题内容，推测是禁止弹窗的页面。且云控配置中的pop_ids为允许弹窗的ID列表，与pop_info中的pop_id相对应。

  浏览器弹窗安装：在测试过程中，浏览器弹出《推荐-安装幻笔 AI》窗口，经交互验证，点击该弹窗将触发安装流程。

  锁定浏览器主页：测试时发现Utils 目录中 guardhp.exe 程序会弹出浏览器主页锁定操作，弹出时将浏览器锁定为

  推广自身小工具：接收整体云控配置中universal_popup_rec_slow 与 popmgr_slow，分别是弹窗软件数据和弹窗规则，其含有intercept_bs 类似的工具，本身用于推广自身小工具，通常存放于SuperApp 文件夹中。

  目前，火绒安全软件已实现对此类云控推广模块的识别、拦截及查杀。为保障您的设备安全与使用体验，远离流量劫持、强制弹窗、静默安装等不良行为的侵扰，建议广大新老用户将火绒安全软件更新至最新版本，随后启动全盘查杀功能对设备做全面扫描，及时清除潜在风险。火绒也将持续追踪，为用户构建持续、可靠的安全防护屏障。