正规软件作恶无下限 “捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持...

当正规软件作恶的后果有多严重与无下限，你的电脑操作或数据可能已经不属于你控制了。已经成为别人的利益收割与劫持或盗取数据的方式了。

坚决抵制一切未经用户确认安装的病毒式软件，与入侵用户系统数据劫持修改盗取数据的方式！期望360以身作则坚守软件的净化与功能核心，而不是伤害信任的用户，背刺多了反向重伤的就是自己了。

《捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持黑幕》近期，火绒安全实验室监测发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广传奇类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。


为了防止其具有争议性的推广行为被技术人员分析发现、被公众舆论讨论揭露，躲避自动化分析软件的监控和拦截，隐藏背后编织的巨型利益输送网络，这些推广模块采用了多种技术对抗手段。它们通过云控配置实时调整自身行为，专门规避技术人员等高危群体，精准针对普通用户投放。推广模块会根据用户的系统环境、地理位置、使用时长、是否充值等多维度信息判断用户价值，仅对安全目标、小白用户启动推广行为，使推广行为更加隐蔽。

从服务器下发云控配置开始，软件就开始了其针对性的检测：
· 地区相关：以鲁大师为例，软件会根据用户所在地区针对性的投放推广云控配置。测试得出，对北京地区的用户会减少或不下发推广相关的云控配置。
· 渠道相关：有些软件会专门区别用户是否从软件官网下载，并且针对从非官网渠道下载的用户推送推广云控配置，而官网用户将会减少或不下发推广相关云控配置。
· 用户相关：以鲁大师为例，获取云控时会通过遍历检测当前系统信息的方式判断是否为技术人员、是否在虚拟机中、是否为业务会员等相关数据，从而针对性调整云控配置。

值得注意的是，在劫持浏览器的过程中，会对用户是否访问过周鸿祎的微博进行检测，若检测结果为已访问，则不会进行推广。