近日，火绒安全实验室发布题为《" 捉迷藏 " 式收割：撕开鲁大师为首系列企业流量劫持黑幕》的专项报告。报告指出，包括成都奇鲁科技有限公司（鲁大师运营方）在内的多家厂商，通过云控配置构建大规模推广产业链，利用隐蔽手段劫持用户流量、静默安装软件，并实施了极具针对性的 " 反侦察 " 策略。

报告中公布的与本次威胁情报强相关的软件

据火绒报告显示，这些厂商利用普遍的上网常态加大推广力度，通过云端下达配置指令，动态控制软件的推广行为。以鲁大师为例，其推广行为包括但不限于：利用浏览器弹窗推广 " 传奇 " 类页游、在未获明确许可下弹窗安装第三方软件、篡改京东网页链接插入推广参数以获取佣金、以及弹出带有渠道标识的百度搜索框等。

报告中公布的多种推广方式

为了规避监管和技术分析，相关软件采用了复杂的 " 捉迷藏 " 策略。报告详细披露了这些软件的规避手段：

1. 地域规避：软件会根据用户 IP 所在地投放配置。测试显示，针对北京地区的用户，软件会减少或完全不下发推广相关的云控配置，而其他地区（如太原）则会接收到大量推广内容 。

2. 人群画像规避：推广模块会检测用户电脑中是否安装了 Fiddler、IDA、Visual Studio 等技术分析或开发工具，一旦发现，便停止推广，以防备技术人员的分析。同时，如果检测到用户是 " 鲁大师尊享版 " 或其他关联软件的付费会员，也会停止骚扰。

3. 历史记录检测：软件甚至会扫描用户的浏览器历史记录。如果发现用户近期访问过 "12315 投诉平台 "、" 黑猫投诉 " 或搜索过 " 流氓软件 "、" 劫持 " 等关键词，系统将判定该用户具有高投诉风险，从而停止推广。

报告中公布的规避手段表

最引人关注的细节是，火绒在分析中发现，鲁大师的推广模块中存在一条特殊的检测逻辑：在劫持浏览器的过程中，系统会检测用户是否访问过 360 创始人周鸿祎的微博。若检测结果为 " 已访问 "，则不会进行推广。

报告中公布的软件需规避的标题或链接（其中包含周鸿祎的微博链接） 

这一细节引发了网友热议，有评论调侃称：" 没想到周鸿祎还怕被人骂，仔细一想原来是怕用户去微博骂老板 "。天眼查数据显示，鲁大师（成都奇鲁科技有限公司）与 360 系公司在历史上存在复杂的股权和业务关联。

值得注意的是，就在火绒报告发布的 11 月 11 日当天，鲁大师软件连续推送了两个版本更新，更新说明仅模糊地提到了 " 修复已知 bug" 和 " 提升用户体验 "，未提及是否针对报告指出的流量劫持问题进行了整改。

截止发稿，鲁大师方面尚未就火绒安全报告中的具体指控作出公开回应。

见习记者 马斌

校对   朱亚萍