近日，火絨安全實驗室發佈題為《「捉迷藏式收割」：撕開魯大師為首系列企業流量劫持黑幕》的專項報告。

報告指出，包括成都奇魯科技有限公司（魯大師運營方）在內的多家廠商，通過雲控配置構建大規模推廣產業鏈，利用隱蔽手段劫持用戶流量、靜默安裝軟體，並實施了極具針對性的「反偵察」策略。昔日的系統工具軟件如今成為流量劫持，惡意推廣的最大幫兇，網民批評「電腦程式竟成提款機」。

據火絨報告顯示，這些廠商利用普遍的上網常態加大推廣力度，通過雲端下達配置指令，動態控制軟體的推廣行為。以魯大師為例，其推廣行為包括但不限於：利用流覽器彈窗推廣「傳奇」類頁遊、在未獲明確許可下彈窗安裝第三方軟體、篡改京東網頁鏈接插入推廣參數以獲取傭金、以及彈出帶有管道標識的百度搜索框等。

捉迷藏式投放廣告

為了規避監管和技術分析，相關軟體採用了複雜的「捉迷藏」策略。報告詳細披露了這些軟體的規避手段，包括地域規避，即軟體會根據用戶IP所在地投放配置。測試顯示，針對北京地區的用戶，軟體會減少或完全不下發推廣相關的雲控配置，而其他地區則會接收到大量推廣內容 。

第二，推廣模組會檢測用戶電腦中是否安裝了Fiddler、IDA、Visual Studio等技術分析或開發工具，一旦發現，便停止推廣，以防備技術人員的分析。同時，如果檢測到用戶是魯大師尊享版或其他關聯軟體的付費會員，也會停止騷擾。

第三，軟體甚至會掃描用戶的流覽器歷史記錄。如果發現用戶近期訪問過「12315投訴平臺」、「黑貓投訴」或搜索過「流氓軟體」、「劫持」等關鍵字，以及部份容易引發輿論的平臺，如微博和知乎，系統將判定該用戶具有高投訴風險，從而停止推廣。

最引人關注的細節是，火絨在分析中發現，魯大師的推廣模組中存在一條特殊的檢測邏輯：在劫持流覽器的過程中，系統會檢測用戶是否訪問過魯大師背後公司360集團創始人周鴻禕的微博。若檢測結果為「已訪問」，則不會進行推廣。

360魯大師控股有限公司2024年年度報告顯示，魯大師的2024年財報，「線上廣告及推廣服務」收入為5.31億元，占總收入的40.35%，同比增長157.3%，成為公司收入增長的主要驅動力。運營獨家許可線上遊戲業務：收入為7.54億元，占總收入的57.36%，同比增長51.6%。

值得注意的是，就在火絨報告發佈的11月11日當天，魯大師軟體連續推送了兩個版本更新，更新說明僅模糊地提到了「修復已知bug」和「提升用戶體驗」，未提及是否針對報告指出的流量劫持問題進行了整改。截止至發稿當日，魯大師方面尚未就火絨安全報告中的具體指控作出公開回應。

報告鏈接：“捉迷藏”式收割：撕開魯大師為首系列企業流量劫持黑幕！