- 搜狗输入法“猫腻”被揭穿捆绑安装令人好感全无
- 2015年01月19日来源:大洋网
提要:网友发现,这些安装包能够模拟用户点击来安装搜狗浏览器。Explorer里的sougou.ime会下载远控的shellcode,执行后则会选择时机来推广搜狗浏览器,通过PostMessageW发消息,就会自动模拟点击下载搜狗浏览器,而此时浏览器安装包还能通过进程间通信隐藏安装界面。所以很多用户不知不觉间就被安上了搜狗浏览器。
日前,有网友通过技术分析发现了搜狗输入法非常隐蔽的的推广手段。一开始,网友上网时浏览器莫名其妙被换成了搜狗浏览器,卸载后又被偷装。这时才发现不对劲,想想大概是被“流氓”了,怀着探秘的心情,该网友利用技术手段分析了搜狗的捆绑手法。
在该网友花时间重现搜狗推广手段时,同时发现了搜狗的一个调试信息输出开关,只要增加一个注册表值,利用这个键值就可以把调试信息打开,再利用debugview便可以监控搜狗的小动作了。
图1:网友公布搜狗浏览器抓包内容
通过分析发现,如果用户电脑中没有安装安全软件,那么搜狗输入法就会直接在服务器下载运行一个推广安装包。而如果电脑中有安全软件,搜狗输输入法所推广的浏览器运控代码就会放在内存里伺机而动。
图2:搜狗浏览器藏匿安装包
首先是静默下载,sogoucloud.exe和云端通信会根据云端指令把下载搜狗浏览器的安装包。而后,经过请求内容解密出代码,代码功能是从搜狗官网下载安装包,然后创建随机目录,比如自动创建360、百度、腾讯的目录文件夹,再把搜狗浏览器的安装包藏这些下载目录中掩人耳目。此外,搜狗浏览器的安装包还会被放在固定地方,省去再次下载的麻烦,电脑中类似sgim_sehelper.bin的文件都是搜狗浏览器的安装包。
网友发现,这些安装包能够模拟用户点击来安装搜狗浏览器。Explorer里的sougou.ime会下载远控的shellcode,执行后则会选择时机来推广搜狗浏览器,通过PostMessageW发消息,就会自动模拟点击下载搜狗浏览器,而此时浏览器安装包还能通过进程间通信隐藏安装界面。所以很多用户不知不觉间就被安上了搜狗浏览器。
费了这么大工夫,形成一套完整的捆绑手段,看到搜狗这么拼,网友不禁质疑:这么做跟病毒有什么区别?更多网友则表示,确实自己本来只安装了搜狗输入法,而此后一下被捆绑安装了搜狗浏览器、壁纸、手机助手等软件,一下子让人好感全无。