Honker.org.cn红盟网讯 火绒威胁情报中心近期监测到一款专门锁定浏览器主页的病毒正加速蔓延。

经溯源，该病毒的源头指向搜狗输入法。据悉，搜狗输入法通过 Shiply 终端基础发布通用模块，向云端请求控制配置。在下发这些云控配置中，会结合用户画像：例如所在地区、时间等诸多维度进行精准推送。由于 Shiply 平台本身具备灰度发布能力，据此推测，攻击者很可能先通过小范围灰度测试验证效果，再进行大规模传播。

该病毒的推广模块会首先检测用户设备上的杀毒软件，随后通过篡改配置文件的方式，强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。目前，火绒安全产品可对上述推广模块进行拦截与查杀。

样本分析

本文提及的搜狗输入法版本为 15.7.0.2192。

云控配置获取与推广模块下载

配置拉取源头：搜狗输入法将会借助 SGBizLauncher.exe 程序附加参数 -lappid=configupdate 进行拉取云控配置，该SGBizLauncher.exe 程序会被输入法组件 SogouPY.ime 执行，执行间隔为六个小时一次。此输入法组件为 DLL 文件，将会通过用户切换至搜狗输入法时被加载。