今天看到火绒托盘图标有消息,以为又自动升级了呢,没想到是查灭个病毒

定睛一看,我去这是搜狗

2020-06-06,病毒防护,文件实时监控,发现病毒Adware/Sogou.b, 已处理

病毒路径说:C:Program Files (x86)SogouInput9.1.0.2589SGTool.exe

病毒名称说:Adware/Sogou.b

病毒ID说:0FC146CE063B562C

操作结果说:已处理

——————————————————————

丨本篇文章转载自: https://zhuanlan.zhihu.com/p/146179800

丨作者:火绒安全实验室

丨著作权归作者所有,本次转载非商业。

临近6.18电商促销日,火绒在官方微博、微信等平台收到不少用户反馈,称电脑不断出现托盘闪烁弹窗,点击后即为淘宝天猫的6.18促销网页。火绒工程师溯源调查后发现,该弹窗均来自于常用软件“搜狗输入法”,该广告配置通过云控下发,无法通过设置关闭。进一步分析发现,该软件除了疯狂弹窗,还存在统计用户浏览器浏览历史数据等越位行为,符合广告程序的定义。目前,火绒已对该软件中广告模块进行拦截查杀。

查杀图

根据分析,“搜狗输入法”通过云控,向用户下发专门添加了用以在6.18期间弹窗的相关组件,该组件与“搜狗输入法”主程序功能之间并无任何关联作用。用户安装运行“搜狗输入法”后,就会频繁收到托盘闪烁弹窗,如果不小心点击,就会打开关于天猫6.18整个推广促销网页。

虽然右键可暂时退出该弹窗,但根据其云控下发的配置,5小时后仍旧会再次顽固弹出,循环往复,严重影响了用户的正常上网及工作。

https://c.tb.cn/0.T3F0qp (二维码自动识别)

除此之外,更为严重的是“搜狗输入法”还会收集用户本地的安全软件、广告拦截工具的运行状态,甚至搜集用户IE浏览器和搜狗浏览器历史记录数量和页面标题数量,并回传至后台服务器,推测用以制作用户画像进行精准推广。该行为涉及隐私数据,严重越位,存在损害用户权益的风险。

由于该软件下载量较多,导致受影响的用户范围较大,火绒在用户群、论坛、微博、微信、邮箱等各平台均收到大量的相关反馈与私信求助。目前,火绒最新版已对“搜狗输入法”内的弹窗与搜集用户信息的模块进行拦截查杀。需要注意的是,火绒查杀该广告模块后或导致“搜狗输入法”的“工具”功能无法使用,但不影响键入文字等主要功能。

图:火绒各平台的私信求助

图:火绒用户群的反馈情况

图:火绒论坛反馈信息

图:知乎相关话题讨论

弹窗问题由来已久,继去年人民日报点名批评弹窗乱象后,今年两会期间也有政协委员建议将过度弹窗的软件厂商列入失信名单。但随着流量经济愈发至上,部分软件厂商已然越过雷池,将弹窗流氓化、病毒化,对于此类软件和程序,火绒将会持续、及时进行拦截查杀,保护用户权益。同时我们也呼吁广大软件厂商抱表寝绳,合理逐利,注重用户体验才能长远发展。

附:【分析报告】

一、详细分析

近期,搜狗输入法用户大量遇到6.18托盘广告弹窗的情况,该流氓推广行为通过云控下发,在搜狗输入法界面中未发现相关功能开关。广告弹窗程序showinfo.exe由sgutil.dll释放执行,sgutil.dll被sgtool.exe调用。相关代码,如下图所示:

sgtool.exe加载执行sgutil.dll

sgutil.dll执行”StartPopupServer”导出函数后,会根据云端配置释放执行托盘广告模块showinfo.exe。相关代码,如下图所示:

根据配置决定是否释放执行showinfo模块

showinfo模块

showInfo.exe模块主要负责弹出桌面托盘广告图标及更新广告配置。当此模块运行之后,首先会对存放于%Appdata%\LocalLow\SogouPY\Popup\traynet\目录下的配置资源config.ini进行AES解密并读取其中的配置信息,相关信息如下图所示:

AES解密并读取配置信息

解密后的config.ini配置信息如下图所示:

解密后的config.ini信息

解密并读取配置信息无误之后,showInfo.exe模块便会收集:系统硬件签名、主机运行的安全软件等信息,连同搜狗输入法的版本信息一起回传。收集的安全软件信息如下图所示:

收集的安全软件信息

收集安全软件运行信息相关代码如下图所示:

收集安全软件信息

收集的安全软件信息以标记位形式发送给服务器(sfsw及sfw参数中0,1代表各家安全软件运行状态。0代表未运行,1代表正在运行),相关信息如下图所示:

收集的主机信息内容

收集完所需的主机信息之后,程序便会将其与“http://api.pinyin.sogou.com/v1/bubble/ad“加密发送给服务器“http://get.sogou.com/q”, 发送加密信息相关代码如下图所示 :

发送加密信息

传输的数据信息

服务器根据发送信息,返回加密数据。程序通过AES算法解密之后便得到托盘广告所需的配置信息,解密数据相关代码如下图所示:

AES解密返回数据

解密后的配置数据如下图所示:

——end——

Talk:国内的软件市场,还敢放心吗?你用的是什么输入法呢?


XHCloud站长,哔哩哔哩小豪丶Xiaohao,日常咕咕:P