必应百度化？捆绑下载器通过必应广告推广 冒充官网诱导用户访问

据火绒安全公众号报道，火绒威胁情报系统监测发现有用户在下载软件时，电脑会被静默安装鲁大师等软件。

经过溯源发现，这是由于用户点击软件推广链接导致，这些推广链接通过微软必应搜索中国版投放诱导点击。

例如在必应搜索中检索关键词钉钉，排在首位的、标注官网的其实是山寨网站，里面的钉钉电脑版是捆绑器。

用户若使用打开这个捆绑器则会被安装360 旗下的鲁大师，在安装成功后鲁大师才会下载目标软件例如钉钉。

▲号称官网的山寨网站

此前火绒安全实验室曾多次发现百度搜索出现捆绑下载器，这些下载器通过百度搜索付费广告获得关键排名。

当用户不慎点击广告进入目标页面后，会发现这些页面类似某些软件官网，结果用户下载后才发现是捆绑器。

现在微软必应搜索也出现类似的情况，例如这个标注官网的网站，实际上是鲁大师仿制的故意诱导用户点击。

而且这个山寨网站无论用户点击页面哪里都会触发下载，不明所以的用户如果运行下载器就会被安装鲁大师。

火绒分析后发现这个山寨网站IP地址与鲁大师官网一致，而工信部备案信息是无锡市凯南信息技术有限公司。

凯南信息是软件定制企业，如此来看应该是凯南信息帮助鲁大师定制各种捆绑安装包，然后再去投广告引流。

▲山寨的钉钉官网

▲鲁大师不请自来

讲道理必应搜索的广告相对来说还是比较少的，而且以前必应搜索的广告是由搜狗和360 提供并非微软自营。

现在5L科技查询发现必应搜索的广告不再显示来自 360，那这意味着现在这些广告都是微软这边自己处理的。

不知道是不是现在 Microsoft Edge 用户逐渐增多必应使用率提升，微软觉得广告这块还是自己赚钱比较好。

火绒还发现鲁大师和凯南信息针对多款知名软件建立山寨网站，包括但不限于钉钉、网易云、微信、火狐等。

这些软件日常检索量非常大因为掉进山寨网站的用户也非常多，鲁大师如此坑害用户无非是想提升装机数量。

提升装机数量后就可以利用各种弹窗诱导用户安装其他推广软件或者弹窗垃圾广告赚钱，只不过这方式太坑。

目前火绒安全软件内置软件安装拦截功能可自动识别这类捆绑下载器，有需要的用户记得开启安装拦截功能。

▲用火绒剑可以看到一堆鲁大师进程

▲软件签名也是鲁大师的