火绒安全：搜狗输入法云控下发模块，“暗中”篡改浏览器配置

9月20日，火绒安全通过官方公众号发布安全警告，监测到一款专门劫持浏览器主页的病毒正在快速传播。根据技术溯源，该病毒传播源头直指搜狗输入法的云控系统。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

文章披露，搜狗输入法通过其Shiply终端基础发布平台下发通用模块，这些模块会向云端请求控制配置。令人担忧的是，这些云控配置会根据用户画像（包括地理位置、时间等多维度数据）进行精准推送。凭借Shiply平台具备的灰度发布功能，攻击者可能先小范围测试传播效果，随后扩大感染范围。

监测显示，病毒推广模块会首先扫描用户设备上的安全软件，随后通过篡改系统配置文件的方式，强制修改Edge和Chrome浏览器的默认主页及搜索引擎设置。目前，火绒安全产品已能有效拦截并清除这些恶意模块。

1、样本分析

本次分析的搜狗输入法版本为15.7.0.2192。

1.1、云控配置获取与推广模块下载

技术分析显示：

• 配置拉取过程通过SGBizLauncher.exe程序实现，该程序会附加-lappid=configupdate参数
• 执行周期为6小时一次
• 输入法组件SogouPY.ime在用户切换输入法时加载

核心流程：

1. ShiplySDK设置关键参数APPID和APPKEY
2. 平台支持按时间/地区/版本号等条件精确投放
3. 配置数据存储在SQLite数据库
4. 注册表存储加密后的进程白名单

1.2、推广模块分析

检测到该模块具有以下危险行为：

• 主动规避主流杀毒软件检测
• 精准修改浏览器配置
• 植入带推广参数的搜索引擎跳转链接
• 新版模块新增浏览器主页劫持功能

1.3、其他推广行为

搜狗输入法还存在：

• 通过系统通知实现强制弹窗
• 刻意隐藏关闭弹窗的设置选项
• 云控配置可绕过用户设置

2、附录

样本哈希值：