必应已死！所有人停止使用 Bing搜索下载软件！

注意

这是《搜索引擎异闻录》的第二期，我们也是终于正式开坑了！请耐心阅读本次的精彩文章，敬请期待这个合集的下一章！

封面图片解释：图中左边的渡里贝子 (也称渡里妮娜，《東方Project》 第二十作 《東方錦上京　～ Fossilized Wonders.》 EX面登场人物)代表“往搜索引擎投放钓鱼网站与木马的黑产团伙”~~按人设来看很合理，毕竟是AI输出的垃圾信息过多造成的产物~~，右边的必应被银狐扑倒说明必应已被木马病毒污染。

小引#

近半年以内，越来越多的用户反馈说 Microsoft Bing 搜索引擎，已经被铺天盖地的垃圾掩埋了：不止是上期文章提到的内容农场，在搜索软件下载的时候，排在搜索结果前列的网站都是钓鱼网站，它们用着比官网还逼真的页面，诱骗用户去下载带有木马的软件安装包！

我一听直接震惊了！我一直使用必应找软件，却没遇到过这种情况。接着我才发觉原来是我加了反广告插件 (AdGuard) 把那些垃圾都给过滤了~~依旧是我仅有的一点点赛博洁癖发力了~~。看来有许多人上网使用浏览器都不会自觉主动去添加插件以得到净化后的上网体验 ~~(他们估计连那些安利视频都懒得看，哔站浏览器插件安利视频一搜一大把，我也是这么样过来的)~~。

当然，这篇文章的主题并不是批判用户的上网习惯以及对灰产小作坊投放垃圾网站的无脑控诉。而是谈必应面对持续已久的负面现象却不以为然，丝毫没有任何声明与整改这件事。

事件梳理#

温馨提醒

正式阅读该文章前，可以去以下链接速览事件概况：

起因 & 攻击手法#

2025年下半年，银狐木马就已开始肆虐必应搜索引擎各大网站，攻击者利用 SEO 轰炸，加上恶意广告投机，让伪装的下载站(钓鱼网站)出现在 Bing 搜索结果的前几名。他们面向一些急需下载软件的用户，仿冒 Telegram、WeChat、Chrome、Zoom、WPS Office、Microsoft Teams 以及各类财务/办公软件，这些类型的软件成为投毒的重灾区，导致许多用户中招，他们的电脑也成为那些攻击者的肉鸡。

病毒特征#

这些小作坊投放的钓鱼网站分发的是“银狐” (Silver Fox / ValleyRAT) 系列木马。这是一种远程控制类木马 (RAT)，一旦运行，黑客可以监控屏幕、记录键盘输入、窃取数字货币钱包以及网银数据，等等。

由木马引发的用户与必应之间的信任危机#

又到了喜闻乐见的「岁月史书」时间：自 Google 退出中国大陆搜索引擎业务(2009 年)以来，大陆网民一直使用百度、搜狗等国产搜索引擎，自从 2016 年（刚好是 2026 年的十年前）魏则西事件发生过后，百度的口碑开始在网民心目中逐渐下滑。而后微软趁虚而入，大幅推广自家的 Bing 搜索引擎，必应在国内也逐渐有了名声，加上 Windows 10 开始捆绑 Edge 浏览器与搜索引擎，必应的使用率也超过了百度：在“P2P下载器”泛滥的时期，因有人发现必应搜索结果比百度干净的多，必应也俨然成为许多用户替代百度搜索的“避风港”，而今它的规模也持续到了现在。

用户往往对知名搜索引擎，尤其是微软背书的 Bing，有着天然纯真的信任。但好景不长：

当你以为避开了小网站的弹窗，却在最信任的搜索框里跌入了深渊。

去年开始泛滥的银狐木马彻底打破了这片清新宁静，讽刺的是，现在搜索某软件下载，搜索结果已经被带毒的假官网充满(只有加了反广告插件真正的官网才会被置顶)，这种“灯下黑”的心理落差，以及“官方背书”带来的防御心理解除，无疑是灰产团伙巧妙利用群众心理让他们自食其果，从而达到“借刀杀人”的效果。

搜索生态的算法崩塌#

Important

关于必应的搜索算法，可以参见：Bing搜索引擎优化（SEO）白皮书-2025年版，这里不做具体解读。

灰黑产利用算法漏洞 (SEO 污染) 跑在了审核机制的前面，这是一件极其荒谬的事情，我们都想了解：

算法到底是为用户服务，还是为出价高昂的“杀手”让步呢？

一、算法特性被黑产精准利用#

根据刚刚提到的对SEO算法研究的白皮书，Bing与Google在核心算法上存在显著差异，这些差异恰好成为黑产的攻击入口：

维度	Bing特性	黑产利用方式
关键词策略	重视关键词密度与精确匹配	批量堆砌”软件下载""免费版”等高转化词
外链权重	更看重外链数量与平台相关性	通过站群、目录提交快速制造大量外链
社交信号	显式纳入排名因素	刷Twitter转发、LinkedIn分享数据
多媒体索引	高包容性，优先抓取图片/视频元数据	伪造软件截图、视频教程增加可信度
索引速度	普通站点3-7天即可收录	快速轮换域名，打时间差

核心漏洞：Bing 对"关键词密度"和"外链数量"的权重过高，导致黑产可以通过自动化工具批量生成"SEO友好"的钓鱼页面，而 Google 更重视的语义分析和权威性评估则难以被简单操控。

二、广告审核机制的结构性弱点#

我们从 Bing 的 SEO 机制可推断广告审核的漏洞：

审核响应滞后 Bing对"站点地图提交"和"新页面收录"响应快速（3-7天），但对违规内容的人工审核周期过长 黑产采用 “快速上线-收割流量-弃用域名” 的游击战术
域名信誉评估体系薄弱 白皮书强调Bing重视"外链数量"而非"域名历史信誉" 新注册域名通过购买外链、伪造社交信号即可快速获得排名
落地页与广告内容分离策略 黑产常在审核阶段展示正规页面，通过来路检测（Referer Check）向Bing爬虫和普通用户展示不同内容当用户通过Bing搜索结果进入时，才跳转到带木马的下载站

三、Ｍ＄生态的“信任传递”被滥用#

白皮书指出Bing覆盖”Windows 搜索、Edge 浏览器、LinkedIn及Cortana”，这种生态整合反而成为攻击面：

生态入口	黑产攻击手法
Windows默认搜索	利用系统级信任，用户降低警惕性
Edge浏览器	伪造”Microsoft推荐”标识
LinkedIn内容	发布虚假软件评测文章，Bing赋予高权重
GitHub托管	恶意代码库伪装成开源项目

典型案例：2024-2025年，“黑猫”黑产团伙通过Bing SEO技术投递仿冒Chrome、Notepad++、Clash、WinSCP等常用软件的钓鱼页面，导致27.78万台主机被控。^[来源]

四、黑产攻击的完整链路#

Note

别问为什么不用 Mermaid 图表语法做流程图，因为我用了之后发现那玩意渲染出来的非常奇怪，很扁，只能提前做好然后嵌入图片了，，，

5.2号更新：最近 Firefly 博客模板添加了 PlantUML 的 feature，发现流程图可以自定义节点对其了，遂应用到文章当中👍

@startuml
hide empty description
hide empty members

skinparam ranksep 20
skinparam nodesep 30
skinparam linetype ortho

' 第一行节点
state "关键词研究" as step1
state "批量建站" as step2
state "SEO优化" as step3
st

关键技术：

“白加黑”攻击：利用合法白程序（如libcef.dll）侧加载恶意代码
无文件内存执行：反射加载技术规避杀毒软件检测
C2基础设施：使用Cloudflare等CDN隐藏真实服务器

后AI时代，信任危机只会愈发明显#

随着 LLM 的疾速迅猛发展，AI 带给我们生活与工作上的便利同时，AI 也让造假的成本大幅降低。在 Vibe Coding (氛围编程) 主流助推下，仅需几步，随便生成一个非常美观的 UI 界面对 AI 来说简直小菜一碟。这也说明，用户仅凭视觉已无法判断网站的真伪。点此跳转上文

在 UI 都能被 AI 完美克隆的今天，我们还能相信眼见为实吗？

其实，无论是以前的互联网时代，还是现在的AI时代，靠视觉判断是不是正版这样的论断都是不严谨的，甚至说是错的，毕竟只是一个网页，用F12打开源代码就一览无余，直接Ctrl + C Ctrl + V的事。以前没有看到过直接这样做是因为直接照搬是侵权行为，小作坊不敢这么干只能手搓比较像的页面。现在AI来了，一切都将成为LLM训练的养料，模仿这块除非有成熟的针对AI的知识产权法律制定，不然已经无人能出手了，，，

现在微软的搜索引擎部门真是问题重重，都被喷了半年了没见什么动静。即便是有很多人提交了举报工单，也是一点声明没发，整改也没做，我看他们的老冯已经飞出外太空去和旅行者一号会面去了。但凡像 Windows 部门那边写一封声明书画个饼，也不至于到现在还被喷。要是觉得自己竞争过百度了目中无人了(其实半斤八两)，那你们自己等着被骂的更惨吧，信任危机是一天天不解决的，家里还有气的是只剩下一罐未喝完的可乐的，，，

面对搜索引擎大变天，该如何「破局」？#

以下是个人长久以来的经验所总结得出，希望读者能自行实践。

零、搜索前：添加反广告插件#

这里我推荐AdGuard，自行从Chrome、Firefox或Edge插件商店搜索下载即可

一、搜索阶段：识别危险信号#

危险信号	具体表现	应对措施
广告标识混淆	标注”广告”但样式接近自然结果	优先点击无”广告”标签的结果
域名异常	包含”download""free""crack”等词的新注册域名	查看域名年龄（whois查询）
过度SEO优化	标题堆砌关键词如”【官方】XX软件下载_免费版_破解版_2025最新”	警惕精确匹配关键词的标题
虚假权威性	声称”微软推荐""Bing优选”	微软官方从不为第三方软件背书
社交信号造假	显示数千转发但评论为空或重复	点击链接前查看真实用户讨论

注意！

⚠️ 高危关键词清单

搜索以下词汇时必须额外警惕：

“XX软件破解版”
“XX软件免费下载”（非官网）
“XX软件绿色版”
“XX软件免安装”
“XX软件序列号生成器”

二、访问阶段：落地页安全核查#

🌐 网址验证清单#

必须确认的5个要素：

HTTPS证书
- 地址栏应显示🔒锁形图标
- 点击证书查看颁发机构是否为可信CA（如DigiCert、Let's Encrypt）
- 警惕自签名证书或证书与域名不匹配
域名拼写
- 仔细核对品牌名拼写（如github.com vs githhub.com）
- 注意顶级域名替换（.com vs .cn vs .top）
官网特征
- 官网通常有完整的"关于我们" "隐私政策" "联系方式"
- 钓鱼站往往只有下载按钮，缺乏其他页面
页面一致性
- 截图、Logo是否清晰无拉伸
- 语言风格是否专业（钓鱼站常有翻译腔）
下载按钮位置
- 警惕页面顶部/侧边悬浮的”立即下载”广告按钮
- 真正的下载链接通常在软件介绍详情页内

🛡️ 技术验证手段#

方法	操作步骤	目的
whois查询	访问 whois.domaintools.com 输入域名	查看域名注册时间（新注册<1年高风险）
VirusTotal检测	复制下载链接至 virustotal.com	多引擎扫描链接安全性
Wayback Machine	在 web.archive.org 查看域名历史	确认网站是否长期稳定运营
Bing Webmaster	查询域名在Bing的索引状态	查看是否有安全警告标记

三、下载阶段：文件安全校验#

一般知名的软件或开源项目提供SHA 256校验码文本或校验文件，相比MD5算法更加安全且目前无法破解。下载完成后请在下载目录执行以下命令：

1
# Windows
2
certutil -HashFile {文件名} SHA256
3

4
# Linux
5
sha256sum {文件名}   # 执行后将输出文本与官网提供的校验码进行比对
6
# 或者(若有校验文件)
7
sha256sum -c {文件名}.sha256   # 若输出为"{文件名}: OK"则表示校验成功

其他方式：

📦 下载前必须执行的检查#

文件属性核查：

文件大小是否合理
- 正常VMware Workstation 17.6.x安装包约405MB，若显示的文件大小超过阈值(±10MB)则异常
数字签名验证（Windows）
- 右键文件 → 属性 → 数字签名
- 必须显示发布者名称（如"Broadcom Inc"）
- 无签名或签名无效 → 立即删除
扩展名真实性
- 显示”setup.exe”但真实扩展名为”setup.exe.scr”（隐藏扩展名陷阱）
- 在文件资源管理器开启 “显示已知文件扩展名”

🔒 沙箱运行原则#

场景	安全措施
必须测试未知软件	使用Windows沙盒（Windows Sandbox）或虚拟机
无沙箱环境	使用在线沙箱服务（如Any.Run、Hybrid Analysis）上传文件先行分析
企业环境	禁止直接运行，必须通过IT部门安全检测

四、安装阶段：行为监控要点#

⚡ 安装过程中的危险行为#

立即停止安装的信号：

安装包请求管理员权限但软件功能不需要（如文本编辑器）
安装界面包含捆绑软件预勾选框（如”安装XX浏览器”）
安装路径为系统目录（如C:\Windows\System32）而非Program Files
安装过程中关闭或禁用杀毒软件的提示
安装后立即弹出命令行窗口并快速消失(这个不一定，有些开发者用的工具项目也是这样子但不一定有毒，一般这些类型正常的安装包启动命令行窗口会停留几秒或几分钟)

🕵️ 安装后验证清单#

检查启动项（任务管理器 → 启动）发现不明程序立即禁用
检查计划任务（任务计划程序）搜索最近创建的可疑任务
监控网络连接（资源监视器 → 网络）查看软件是否连接异常IP（非软件官方域名）
验证文件哈希与官网公布的MD5/SHA256值对比

五、替代下载渠道（推荐优先级）#

🏆 安全下载渠道排序#

优先级	渠道类型	示例	优势
1	官方官网	`https://www.vmware.com/`	唯一可信来源
2	官方GitHub Releases	`github.com/{作者}/{项目}/releases`	开源可审计，Bing AI推荐需二次确认
3	可信包管理器	`scoop install 软件名`（Windows 10/11需安装）	社区审核，自动更新
4	可信第三方商店	Microsoft Store、Steam	平台有基础审核机制
5	知名开源镜像	SourceForge（需核对项目官方性）、FossHub	历史较久，但需防钓鱼镜像

❌ 绝对避免的渠道#

搜索引擎广告位推广的”高速下载站”
网盘分享的”破解版”（尤其是百度网盘非官方账号）
论坛、贴吧、QQ群分享的”绿色版”压缩包
视频网站评论区置顶的云盘链接

六、应急处理：已中招后的措施#

🚨 发现感染迹象后的操作#

立即断网：拔掉网线或关闭WiFi，阻止C2通信
保留证据：截图可疑进程、文件路径，不要立即删除文件（便于分析）
全盘扫描：使用多款杀毒软件交叉扫描（Windows Defender + 卡巴斯基/VirusTotal）
检查账户：修改重要账户密码（从另一台干净设备操作）
系统还原：如无法清除，考虑重装系统或恢复出厂设置

📋 事后复盘要点#

记录是通过哪个关键词、哪个搜索结果进入的钓鱼站
向Bing举报恶意站点（Bing Webmaster Tools → 举报垃圾信息）
向国家互联网应急中心（CNCERT）举报

总结#

面对这如粪海狂蛆般的必应搜索引擎生态，个人建议尽量少用或者停止使用，想获得更好的搜索体验我推荐 Google (普通人有能力用的)、DuckduckGo (注重隐私，但有小道消息称也能搜到钓鱼网站)、Kagi (针对从事IT行业开发者，需付费使用) 等搜索引擎。

我在这放几句话送给微软搜索引擎部门：我祝你们老板尸体健康哈，要不是因为有 Microsoft Rewards 可以兑换奖品我也不会用你们家的搜索引擎，要是你们未来几个月还不加紧整顿，我让你们全价飞升到火星为人类外天空探索事业做贡献了🤗

这里是 《搜索引擎异闻录》 主编 泠熙_LingXi_，可能你们阅读的时候会感觉到，我使用了 AI 工具辅助写了文案，在这里我对大家说声抱歉，没有在前面告知这个。但我认为合理地利用 AI 辅助写作还是可取的，它既能帮我搜集素材又能指引思路，我也对 AI 文案修改了许多措辞以接近人味。

最后，祝您在互联网冲浪体验更快人一步，在搜索中享受到 AI 时代下拥有动手能力的清爽感！

附加阅读👉：IT之家 - CPUID 确认 PC 硬件监测工具 CPU-Z、HWMonitor 下载网站遭黑客入侵

THE END

音乐

音乐

小引#