原標題:被流氓軟體拋棄的7種用戶!火絨曝光魯大師流量劫持黑幕
但青小蛙覺得,現在這個更好,紅衣教主威武!
昨天,火絨安全發布了一篇名為《「捉迷藏」式收割:撕開魯大師為首系列企業流量劫持黑幕!》的技術分析文章
原文鏈接:https://www.huorong.cn/document/tech/vir_report/1858
文章非常非常有趣。是的,就是有趣。
火絨安全通過技術分析,展示了多家軟體廠商,通過「捉迷藏」手法進行大規模流量劫持和隱蔽推廣的方法,我們就直接進入主題吧。
這些企業都做了什麼?
•大規模劫持用戶流量:通過自家產品(如魯大師等)植入推廣模塊,暗中控制用戶設備,對用戶進行廣告彈窗、網頁遊戲推廣等獲利行為。
•靜默安裝軟體:未經用戶同意,自動下載安裝各種第三方軟體、瀏覽器插件及推廣工具,從中賺取安裝分成和推廣傭金。
•篡改電商鏈接:如篡改京東購買鏈接,植入返利代碼,將用戶正常購物流量轉化為企業收益。
•鎖定瀏覽器主頁和搜索引擎:頻繁將用戶瀏覽器主頁、默認搜索引擎修改為指定推廣頁面,強制增加流量。
•精準投放廣告:根據用戶地域、設備信息、軟體安裝情況等,動態調整推廣內容和投放對象,以提升轉化效果。
•技術逃避分析和查殺:利用雲控、數據加密、代碼混淆、環境檢測(如檢測是否為技術人員、虛擬機、安裝殺毒軟體等),逃避安全廠商和用戶的監控。
•組件動態下載與隱藏:推廣組件並非隨主程序一同安裝,而是後續遠程下載植入,且具備自我隱藏、冷卻期與概率控制,避免被輕易發現。
如何捉迷藏
這是最有趣的事情,這些流氓軟體會挑選用戶來進行推廣,主要排除以下條件的用戶:
北京地區用戶,不推廣
檢測到用戶地理位置為北京時,系統自動迴避推廣行為,規避高監管與技術分析集中區域。
檢查到專業軟體,不推廣
發現設備安裝了開發、調試、逆向分析等專業工具(如IDA、OD、Wireshark等),認定為技術人員或高風險環境,停止推廣防止被分析、抓包和曝光。
檢查到虛擬環境或假用戶,不推廣
通過檢測虛擬機特徵(MAC、顯卡、電池等)、任務欄圖標數量異常、瀏覽歷史缺乏主流網站或遊戲等,判斷為分析環境或偽造用戶,停止推廣。
檢測到專業用戶(殺軟、虛擬機、技術人員等),不推廣
檢查出設備有殺毒軟體(如火絨、360、卡巴斯基等)、淘客插件、虛擬機、運維工具,或具備專業人員操作習慣,均不進行推廣,主動避開安全圈和行業人士。
檢查到高價值或強防護用戶,不推廣
讀取用戶軟體會員充值信息(及充值記錄)、註冊表彈窗過濾設置等,精準識別高價值會員或強防護用戶,對此類人群全部取消推廣,減少投訴和負面風險。
檢查到維權/投訴/技術風險用戶,不推廣
監測用戶訪問技術論壇(如吾愛破解、看雪)、投訴維權平台(如12315)、流氓軟體曝光資訊、熱點人物微博及相關負面關鍵詞,一旦發現即停止推廣,主動控制輿情和風險。
訪問過周鴻禕的微博,不推廣
值得注意的是,在劫持瀏覽器的過程中,會對用戶是否訪問過周鴻禕的微博進行檢測,若檢測結果為已訪問,則不會進行推廣。
怎麼樣?你有沒有被拋棄?