在笔记本刚普及的那些年,很多人装机的第一步是下载一款电脑管家。但往往不久后会发现一些棘手问题:凭空多出陌生软件、弹窗广告越来越多、电脑越用越卡。围绕“流氓软件”的争议,由此伴随国内 PC 生态十多年。
上周,终端安全厂商火绒发布了一份技术报告,点名近30款国内电脑软件涉嫌流量劫持和恶意推广,把这层旧疑云重新搅动。
让人尤其关注的,是老牌电脑管家鲁大师。报告发现,鲁大师在推广游戏广告和第三方插件时,设置假关闭按钮,欺骗用户点击下载。同时还会在京东、百度等网页链接里插入返利参数,从用户的每一次自然搜索中抽成。
这份报告在网安圈内激起了不小的震动,除了因为涉及知名安全软件,还因为详细披露了躲避监管的策略——比如,软件会监测用户是否访问过技术论坛和12315投诉网站,有没有浏览过360董事长周鸿祎的微博。一旦被认定不是“电脑小白”,便随时停止推广。
鲁大师由成都奇鲁科技有限公司运营,2019年在港股上市,最大股东为360集团。许多用户曾用它查杀病毒、跑分测硬件,招股书显示鲁大师2019年月活达到 1.25 亿,PC 端市场份额一度高达 98.8%。
针对报告内容,21记者向鲁大师与360寻求置评,截至发稿,未收到回复。报告制作方火绒表示不便采访,愿意以公司发文的形式回应任何疑惑。
多位网安从业者向我们指出,报告曝光的行为是典型的“流氓软件”特征:游走在正规商业软件与恶意程序之间,靠隐蔽的方式实现广告变现。但由于复现证据难、维权成本高,用户一直饱受困扰。
推广游击战
火绒报告撰写了近一万字的技术分析,指出涉事软件有多种推广方式。
最直观的一类行为是恶意推广。报告发现,涉事软件的脚本会设置假关闭按钮,诱导用户交互。无论用户点击关闭还是等到窗口超时,都会开始下载第三方软件或浏览器插件。
在广告上,“传奇”页面游戏会以任务栏闪烁图标的方式出现,用户点击则进入网页弹窗,或者开始静默下载“传奇”微端。
另一类行为更隐蔽也更具争议:篡改网页链接,插入自己的返利参数。
简单来说,许多电商平台都有站外拉流量的奖励机制,比如京东的京粉联盟、阿里巴巴的阿里妈妈和一淘。用户点击专属推广链接,推广者就能获得一定比例支付的佣金。
但在报告披露的案例中,用户并没有点推广链接,却仍然触发了返利。原因是软件厂商把京东、百度的正常链接植入了返利参数,让结算系统误以为是自己的推广成果。实际上用户没拿到返利,平台也没获得额外流量。
报告溯源指出,这些推广行为主要来自云端下达配置指令。以鲁大师为例,技术人员发现了一个名为ConfigCenter.dll的云控配置请求模块,导向大部分推广行为。
网络安全从业者陈业炫向21记者解释,“云控配置”是一种传输配置方式。原本和软件同时下载的本地配置文件,此时会放在远端服务器上,变成远程安装。这么做的最大好处是,可以根据用户条件随时调整策略,让灰色行为更加隐蔽。
报告发现了大量非常细致的对抗策略,包括浏览器历史记录检测——系统会匹配历史记录中的网址,检测是否访问过看雪、吾爱破解等技术网站,是否访问过12315投诉维权网站,是否访问过周鸿祎微博。如果检测结果为已访问,则不会进行推广。
设备检测——检查出设备有杀毒软件、淘客插件、虚拟机、运维工具,或具备专业人员操作习惯均不推广,主动避开技术专业人士。
地区检测——对北京地区的用户会减少或不下发推广相关的云控配置,避开监管集中区域。
“其实这些不算新技术,做的事也不是新鲜事,只是更灵活了。”陈业炫说,普通用户通常只能感受到突然弹出的广告越来越多、桌面莫名其妙多出了软件,但无从得知背后具体是谁在操作。而这份报告引起业内关注,主要因为展示了到底哪些软件在操作,它们又是如何绕开专业人员眼睛的。
灰色收入网
多款电脑软件被指出有以上推广模块,强相关的有28款,包括电脑检测工具鲁大师、桌面美化应用小鸟壁纸、系统修复软件DXRepair等等。
让人在意的是,尽管这些软件名称不同、公司不同,彼此之间也没有投资链或工商往来,但火绒技术人员指出它们存在技术合作关系。
许多迹象有所验证:软件使用了相似的云控模块,源码托管在同一网站,注册的邮箱和电话也有交叉。报告判断,这背后可能存在一张以鲁大师为核心的利益网络,证据之一是多家软件服务器共用一个名为“杏仁桉推广结算系统”的后台,而该系统的用户中心只允许使用“@ludashi.com”(鲁大师企业邮箱)为后缀的邮箱注册。
针对这些指控,鲁大师未作任何回应。21记者于11月14日发函问询,截至发稿未收到回复。
多位网安从业者告诉我们,强制安装、难以卸载、劫持浏览器、频繁闪烁广告都是“流氓软件”的典型特征。这类软件介于正规软件和病毒软件之间,主要目的是隐秘实现商业转化,从用户身上悄悄获利。
“其实本质还是商业模式的问题,如果有足够的正向收入,灰色收入也不会是软件厂商的首选。”陈业炫说。在他看来,国内用户缺乏软件付费的习惯,主流厂商也沿用了“免费换市场”的打法,如果后续找不到一条稳定的变现方式,灰色广告流量往往就会成为捷径。
从鲁大师的发展轨迹中,可以看到这一困境的缩影。
作为 PC 时代最知名的系统评测软件,鲁大师自 2009 年上线后迅速流行,以“跑分”“硬件检测”成为许多用户装机的第一步。2019 年,运营主体成都奇鲁科技有限公司冲击港股,招股书显示鲁大师月活高达 1.25 亿,PC 端市场占有率接近 99%。360的经营主体北京奇虎科技有限公司为其最大股东,持股 41.7%。
但高光之后,是用户活跃度下降和收入单一的现实。一方面,电脑价格逐渐平民化,大家对跑分的需求不断减少。另外,公司也尝试过游戏运营和硬件销售的第二增长曲线,但收效一般。
这些变化直接反映在财报中。鲁大师收入主要分为两块:线上流量变现(广告 + 游戏发行)和电子设备销售。然而近两年,游戏版号停发审批让用户活跃度和收入锐减,而硬件销售本身利润率低、难以撑起规模,2021年更是直接暂停。
广告再次处于一臂独存的状态。2024年财报显示,线上流量变现为鲁大师贡献了99.9%的收入,其中近一半来自广告收入。
在广告行业整体低迷的背景下,鲁大师的线上广告收入在去年暴增 153%,达到 5.31亿元。与之伴随的是用户评价持续下滑。黑猫投诉显示,鲁大师有1001条相关投诉,“捆绑多”“难卸载”“卸载了还跳广告”在各个社交平台高频出现。
打击难题
“流氓软件”的困扰几乎贯穿了整个PC时代。早在 2006 年,一群技术志愿者和律师就曾组建过名为“中国反流氓软件联盟”的非营利组织,试图通过集体诉讼和开发免费工具推动立法。
陈业炫曾是其中一员。那几年反流氓软件的诉讼掀起了大量讨论,但他坦言,从实际效果来看,“没有达到预期”。
在陈业炫的回忆里,当年最大的难点是无从定性。软件下载和弹窗哪些能做、哪些不能做,在法规层面几乎没有明确说法。更棘手的是,“流氓软件”往往不在应用内弹广告,而是绕到软件外部的系统桌面弹窗、浏览器页面中,“很难证明是谁干的”。可以说法律上没抓手,技术上也难取证。
一位长期关注计算机安全的诉讼律师向我们提到,“流氓软件”并不像“计算机病毒”那样有清晰的法律概念。虽然它也利用了计算机防御系统的漏洞,很可能构成非法获取计算机信息系统数据、非法控制计算机信息系统罪,“但这些年能达到违法犯罪程度的,基本都是有明显主观恶意的病毒软件开发者”。如何给流氓行为定性,刑法上至今存在争议,入刑打击的案例也不多。
因此,多位法律从业者表示,现在治理“流氓软件”更多依赖民事路径,主要法律依据是消费者保护法、广告法和反不正当竞争法。
比如随着数字法的完善,弹窗广告的边界相对清晰了。北京市隆安 (广州) 律师事务所律师李伯阳指出,我国《互联网弹窗信息推送服务管理规定》明确要求,弹窗信息推送必须一键关闭,禁止诱导点击、流量造假、流量劫持等做法。
消保委和市监局也据此点名过典型案例。2021 年,江苏省消保委通报了 14 款电脑软件存在弹窗问题,其中就包括小鸟壁纸和鲁大师。小鸟壁纸随后下线了暗示性图片、取消捆绑安装;鲁大师则短暂停止了广告投放、下架违规推广。
涉及流量劫持、作弊返利的另一类行为,则更多触及反不正当竞争法。反不正当竞争法第十二条又被业内称为“互联网专条”,近年已经将流量劫持、恶意干扰等新型手法明确纳入规制。“电商平台自己的推广规范也写得很细,比如京东联盟就明确禁止使用作弊推广。”李伯阳说,平台也完全可以以违约为由终止合作,起诉违规软件厂商退回推广费用。
一位不愿具名的律师曾多次代理流量劫持案件,他表示,在反不正当竞争行为的认定上,如今已经基本没有争议,但问题在于维权和执法成本高。“尤其是在取证环节,很难找到有效的线索。而违法成本低、收益又很高,所以才会屡禁不止。”
技术隐蔽性是治理的核心难题。李伯阳解释,很多“流氓软件”都会通过云控配置、地区规避、用户画像的方式不断强化反侦察能力。普通用户一般无法察觉,就算能发现,复现和固定证据也非常困难。
除此之外,“格式化同意”也是一个现实难题。民事领域看重双方是否自愿签署协议,“所以现在的‘流氓软件’都会通过明面上合法的方式——知道用户不爱看《隐私政策》和《用户协议》,就把捆绑安装和推送广告都夹带进去。”这样的告知是否尊重知情权,还需要更量化的标准。但李伯阳也强调,假关闭按钮、任务栏闪动诱导点击等行为,明显已经突破了合理的商业推广边界。
一个比较积极的信号是,工信部一直在对手机 APP 开展定期的侵害用户权益专项整治。李伯阳认为,如果这种主动监管模式也能延伸到个人电脑软件,有望让“流氓软件”真正难以为继。
“从监管和惩罚的角度,确实需要更多的约束,增加伤害用户的成本,鼓励软件厂商往更正当的商业模式走。”陈业炫也建议道。
