当心！软件推广瞄准Bing搜索 月访问量已超百万

据火绒威胁情报系统监测，有用户在下载某软件时，电脑被静默安装了“鲁大师”等无关软件。经溯源发现，这是由于用户点击了软件推广链接导致。这些推广链接通过购买必应（Bing）搜索引擎排名的方式诱导用户访问。用户一旦进入，点击页面任意区域都会触发下载安装。随后再通过“鲁大师市场”安装用户原打算安装的软件。

以钉钉为例，在Bing中搜索“钉钉”，排名第一位的便是软件推广链接，且该广告标题中带有“官版”二字来诱导用户，该链接在Bing中月访问量已超百万。如下图：

进入页面后，用户点击页面中的任何位置都会下载被推广的软件，页面如下图所示：

用户打开软件后，会被静默安装“鲁大师”，再通过“鲁大师市场”来安装钉钉，相关信息，如下图所示：

通过鲁大师市场安装钉钉

火绒剑进程图

安装包签名

通过查看发现该网站（hxxp://l8.xnknkj.cn）与鲁大师市场（hxxp://soft.ludashi.com）IP地址相同，如下图所示：

两个网站内容对比图，如下图所示：

除了钉钉外，还有多个常用软件存在上述情况，不排除推广商通过购买以下软件关键词进行竞价推广的可能性，如下图所示：

火绒用户可开启“软件安装拦截”功能阻止此类推广行为。

必应（Bing）搜索引擎一直以广告少、搜索体验好广受用户好评。在作为Edge浏览器默认搜索引擎之后，用户量更是日渐增加。因此，也成为软件推广商新的目标渠道。当用户重装系统后或在正常使用系统过程中，通过Edge默认搜索引擎搜索下载软件时，如果用户没有相关判别能力，会很容易被推广软件。

火绒安全实验室在此提醒广大用户，在搜索引擎搜索软件时，要擦亮眼睛，谨慎分辨此类广告推广，认准官方网站再下载。