吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 28853|回复: 760
上一主题 下一主题

[PC样本分析] 搜狗输入法强制推广“618红包广告” 用户不堪其扰

    [复制链接]
跳转到指定楼层
楼主
火绒安全实验室 发表于 2020-6-5 22:19 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 火绒安全实验室 于 2020-6-5 22:25 编辑

【快讯】
临近6.18电商促销日,火绒在官方微博、微信等平台收到不少用户反馈,称电脑不断出现托盘闪烁弹窗,点击后即为淘宝天猫的6.18促销网页。火绒工程师溯源调查后发现,该弹窗均来自于常用软件“搜狗输入法”,该广告配置通过云控下发,无法通过设置关闭。进一步分析发现,该软件除了疯狂弹窗,还存在统计用户浏览器浏览历史数据等越位行为,符合广告程序的定义。目前,火绒已对该软件中广告模块进行拦截查杀。


查杀图

根据分析,“搜狗输入法”通过云控,向用户下发专门添加了用以在6.18期间弹窗的相关组件,该组件与“搜狗输入法”主程序功能之间并无任何关联作用。用户安装运行“搜狗输入法”后,就会频繁收到托盘闪烁弹窗,如果不小心点击,就会打开关于天猫6.18整个推广促销网页。

虽然右键可暂时退出该弹窗,但根据其云控下发的配置,5小时后仍旧会再次顽固弹出,循环往复,严重影响了用户的正常上网及工作。




除此之外,更为严重的是“搜狗输入法”还会收集用户本地的安全软件、广告拦截工具的运行状态,甚至搜集用户IE浏览器和搜狗浏览器历史记录数量和页面标题数量,并回传至后台服务器,推测用以制作用户画像进行精准推广。该行为涉及隐私数据,严重越位。存在损害用户权益的风险。

由于该软件下载量较多,导致受影响的用户范围较大,火绒在用户群、论坛、微博、微信、邮箱等各平台均收到大量的相关反馈与私信求助。目前,火绒最新版已对“搜狗输入法”内的弹窗与搜集用户信息的模块进行拦截查杀。需要注意的是,火绒查杀该广告模块后或导致“搜狗输入法”的“工具”功能无法使用,但不影响键入文字等主要功能。



图:火绒各平台的私信求助



图:火绒用户群的反馈情况



图:火绒论坛反馈信息



图:知乎相关话题讨论

弹窗问题由来已久,继去年人民日报点名批评弹窗乱象后,今年两会期间也有政协委员建议将过度弹窗的软件厂商列入失信名单。但随着流量经济愈发至上,部分软件厂商已然越过雷池,将弹窗流氓化、病毒化,对于此类软件和程序,火绒将会持续、及时进行拦截查杀,保护用户权益。同时我们也呼吁广大软件厂商抱表寝绳,合理逐利,注重用户体验才能长远发展。

附:【分析报告】

一、        详细分析
近期,搜狗输入法用户大量遇到6.18托盘广告弹窗的情况,该流氓推广行为通过云控下发,在搜狗输入法界面中未发现相关功能开关。广告弹窗程序showinfo.exe由sgutil.dll释放执行,sgutil.dll被sgtool.exe调用。相关代码,如下图所示:


sgtool.exe加载执行sgutil.dll

sgutil.dll执行”StartPopupServer”导出函数后,会根据云端配置释放执行托盘广告模块showinfo.exe。相关代码,如下图所示:


根据配置决定是否释放执行showinfo模块

showinfo模块
showInfo.exe模块主要负责弹出桌面托盘广告图标及更新广告配置。当此模块运行之后,首先会对存放于%Appdata%\LocalLow\SogouPY\Popup\traynet\目录下的配置资源config.ini进行AES解密并读取其中的配置信息,相关信息如下图所示:


AES解密并读取配置信息

解密后的config.ini配置信息如下图所示:


解密后的config.ini信息

解密并读取配置信息无误之后,showInfo.exe模块便会收集:系统硬件签名、主机运行的安全软件等信息,连同搜狗输入法的版本信息一起回传。收集的安全软件信息如下图所示:


收集的安全软件信息

收集安全软件运行信息相关代码如下图所示:


收集安全软件信息

收集的安全软件信息以标记位形式发送给服务器(sfsw及sfw参数中0,1代表各家安全软件运行状态。0代表未运行,1代表正在运行),相关信息如下图所示:


收集的主机信息内容

收集完所需的主机信息之后,程序便会将其与“http://api.pinyin.sogou.com/v1/bubble/ad“加密发送给服务器“http://get.sogou.com/q”, 发送加密信息相关代码如下图所示 :


发送加密信息


传输的数据信息

服务器根据发送信息,返回加密数据。程序通过AES算法解密之后便得到托盘广告所需的配置信息,解密数据相关代码如下图所示:


AES解密返回数据

解密后的配置数据如下图所示:


解密后的配置数据

当得到所需的托盘广告配置信息以后,程序便将其AES加密并更新到%Appdata%\LocalLow\SogouPY\Popup\traynet\目录下的net.ini文件中。之后,开始检查当前系统时间是否在net.ini配置中所规定的“sdate”到“edate”时间范围之内,并且查询当前系统时间距离上次关闭广告托盘的时间(config.ini中的lastclose字段值)是否大于5个小时(net.ini中的interval字段值),满足上述两个条件则弹出托盘广告,相关代码如下图所示:


时间检测

弹出广告托盘相关现象如下图所示:


广告托盘

sgutil模块
在sgutil.dll加载执行后会根据云端返回的配置决定是否弹出托盘广告,广告弹窗的功能开关只能由云控页面控制(hxxp://api.pinyin.sogou.com/v1/config/netswitch_pc),在搜狗输入法界面中,未发现相关弹窗功能开关。从云端请求的配置信息中“trayad”为弹出开关标记位,如下图所示:


云端配置

当“trayad”标记位为1时,sgutil.dll会从资源中释放执行showinfo模块。相关代码,如下图所示:


从资源中释放showinfo模块

sgutil.dll会间隔6个小时取最新云端开关的状态。相关代码,如下图所示:


请求云端开关配置

并且根据不同地区多次测试发现,请求到的开关配置会有所不同。相关现象如下图所示:


不同地区多次测试得到不同的配置

sgutil.dll除了会释放showInfo.exe外,还会收集Chrome内核浏览器和IE浏览器的历史记录信息。虽然历史记录中的URL、标题等数据也会进行收集,但是尚未发现上传上述数据的相关代码逻辑,现阶段仅会上传历史记录条目数量。在获取Chrome内核浏览器历史记录信息时,首先会根据预留的浏览器历史记录数据库路径找到数据库所在位置,如果预留路径为空,则不会执行任何操作。除IE浏览器外,现阶段最新的sgutil.dll模块只会获取搜狗浏览器的历史记录信息。获取Chrome内核浏览器历史记录信息,相关代码如下图所示:


搜集用户浏览器历史中的标题个数

获取搜狗浏览器历史记录信息相关代码,如下图所示:


获取搜狗浏览器历史记录信息

获取其他浏览器历史信息相关代码,如下图所示:


获取其他Chomre内核浏览器历史记录信息

在搜集历史记录信息结束后,会将搜狗浏览器历史记录条目数拼接到HTTP请求参数中。相关代码,如下图所示:


将收集到的浏览器历史信息拼接为HTTP请求参数

获取IE浏览器中历史记录条目数和标题数相关代码,如下图所示:


收集IE浏览器历史记录信息

上述收集到的浏览器历史记录条目数量和标题数量,会被拼接为回传数据的请求链接地址,回传地址为:hxxp://ping.pinyin.sogou.com/webtitlequery.gif。相关代码,如下图所示:



拼接上传浏览器历史信息的请求参数
由于在目前最新模块中发现了疑似查找360安全浏览器等其他浏览器相关逻辑,但统计这些浏览器浏览历史的代码逻辑无法激活,所以推测以往版本中该模块曾安插过统计其他浏览器浏览历史的代码逻辑。通过分析发现,在2015年的sgutil.dll模块中,我们发现该模块会收集更多不同浏览器的历史记录信息,包括:360安全浏览器、搜狗浏览器、Chrome浏览器、360极速浏览器、猎豹浏览器和淘宝浏览器。相关代码及数据,如下图所示 :


早期的sgutil.dll模块历史记录信息收集代码

2015年的sgutil.dll模块文件信息及数字签名信息,如下图所示:


2015年的sgutil.dll模块文件信息及数字签名信息

二、        附录
相关文件hash

点评

搜*不仅仅是这么卑鄙,手机浏览器那个会震动,还诱骗用户升级浏览器还贼烦退出去的页面也有搜*浏览器的推广,无耻!  发表于 2020-6-7 20:19

免费评分

参与人数 441吾爱币 +429 热心值 +399 收起 理由
zzzkc + 1 + 1 早已经卸载了,不能忍受就它的弹广告!win10自带的就是香!
tinor + 1 + 1 强烈支持!
Snha + 1 + 1 谢谢@Thanks!
天涯的芳草 + 1 我很赞同!
人生若只如初见- + 2 + 1 谢谢@Thanks!
kuan + 1 + 1 热心回复!
GTXFuryNano + 1 + 1 Win10自带输入法不香吗
imyxuan + 1 + 1 谢谢@Thanks!
你弄啥嘞 + 1 + 1 谢谢@Thanks!
maxzjs + 1 我很赞同!
wt288555 + 1 + 1 我很赞同!
缺牙巴 + 3 + 1 火绒霸气
my52hook + 1 我很赞同!
yin6622132 + 1 + 1 火绒牛逼。
useriswho + 1 + 1 我很赞同!
volcanocan + 1 + 1 热心回复!
北灬风 + 1 + 1 我很赞同!
andrang + 1 + 1 我很赞同!
xyh061116 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
科学king + 1 + 1 谢谢@Thanks!
NiGhT_Ray + 1 + 1 我很赞同!
Leon3 + 1 我很赞同!
SUCE222 + 1 + 1 用心讨论,共获提升!
fei8255 + 1 + 1 我很赞同!
Jack云小凡 + 1 + 1 谢谢@Thanks!
木易Oppa + 1 + 1 谢谢@Thanks!
egplnt + 1 谢谢@Thanks!
Yb丶 + 1 + 1 谢谢@Thanks!
下雨了1413 + 1 + 1 谢谢@Thanks!
执念Say + 1 + 1 我很赞同!
休-- + 1 + 1 我很赞同!
zz110 + 1 + 1 我很赞同!
夏日miku + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
RE: + 1 我很赞同!
我好菜啊啊啊 + 1 + 1 谢谢@Thanks!
酒剑仙V吧 + 1 我很赞同!还好我不用搜狗
qwe7210458 + 1 + 1 我很赞同!
ququ2019 + 1 + 1 谢谢@Thanks!
funtouch2 + 1 + 1 谢谢@Thanks!
zhenghonghao25 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
comeheres + 1 + 1 谢谢@Thanks!
飘缈孤鸿影 + 1 + 1 搜狗流氓,越来越不靠谱了
G1000 + 1 + 1 热心回复!
mofang456 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
rank + 1 + 1 我很赞同!
elan + 1 + 1 谢谢@Thanks!
MARK-IIIII + 1 + 1 我很赞同!
uai1314 + 1 + 1 我很赞同!
90s__cgy + 1 + 1 谢谢@Thanks!
执念i_ + 1 + 1 谢谢@Thanks!
xiuji + 1 + 1 谢谢@Thanks!
2203987 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
moyes + 1 + 1 我很赞同!
agentzoo + 1 + 1 用心讨论,共获提升!
cybycy + 1 + 1 谢谢@Thanks!
经典柚子 + 1 + 1 谢谢@Thanks!
LvMou + 1 + 1 鼓励转贴优秀软件安全工具和文档!
白牙照我去战斗 + 1 + 1 推荐微软自带和QQ输入法,都是没有广告的
muyisd + 1 + 1 QQ拼音很香。
桑尼大叔 + 1 + 1 我很赞同!
zf10426 + 1 + 1 谢谢@Thanks!
FIUBU + 1 + 1 我很赞同!
Fun_Rock + 1 + 1 我很赞同!
5uu + 1 我很赞同!
铁狼 + 1 用心讨论,共获提升!
wujun5240 + 1 + 1 搜狗输入法的广告是禁不掉的,如果哪天没广告了,输入法也就是出问题了
细雨清风琴 + 1 + 1 终于解决问题了,感谢火绒!!!!
wmslecz + 1 + 1 我很赞同!
forestnet + 1 + 1 感谢火绒安全的专业曝光,赞
312308080 + 1 + 1 还好安装火绒了,要不被这东西烦死了
一品茶香 + 1 + 1 谢谢@Thanks!
lazyv99 + 1 + 1 我很赞同!
ysj9357 + 1 + 1 我很赞同!
bingo99 + 1 + 1 谢谢@Thanks!
wr20060926 + 3 + 1 我很赞同!我也发过一贴骂搜狗,这下火绒真行动,解气
就叫刘就光 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
tank2806038 + 1 热心回复!
srr3882 + 1 + 1 确实是
sxg9739 + 1
gisext + 1 + 1
_inyF + 1 + 1 我很赞同!
少年侠气 + 1 + 1 我很赞同!
DNSASD + 1 + 1 谢谢@Thanks!
Mas7erLong + 1 + 1 用心讨论,共获提升!
丶逆哒烨 + 1 + 1 火绒大佬,支持一下
小松 + 1 + 1 谢谢@Thanks!
fengbolee + 1 + 1 谢谢@Thanks!
xy820208 + 1 我很赞同!
pxm1123 + 1 + 1 我很赞同!
zxc1998gzp + 1 + 1 我很赞同!
Realrui + 1 + 1 我很赞同!
lyh122 + 1 + 1 我还以为360 结果是这个辣鸡搜狗
tmibi520 + 1 + 1 WIN10自带的五笔除了不能自动记录造词,其它真的挺好!
andyshaw + 1 + 1 谢谢@Thanks!
北轨 + 1 + 1 感谢,已经卸载了搜狗病毒,使用微软输入法
likoaong + 1 + 1 谢谢@Thanks!
禁语 + 1 + 1 从来不用搜狗的东西,跟屎一样恶心
宇泽 + 1 + 1 我很赞同!
banfeng1314 + 1 + 1 所以我一直用win10系统自带的
ababa + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
ajy360 发表于 2020-6-6 15:31
广告程序也算病毒?怎么都跟猎豹垃圾清理、腾讯安全管家一个德行,之前对火绒还有几分敬意,现在看来跟360安全卫士之流都一样,都是不靠谱的工具。

免费评分

参与人数 11吾爱币 +5 收起 理由
夜雨江南 + 1 请勿灌水,提高回帖质量是每位会员应尽的义务!
zim万岁 -1 请勿灌水,提高回帖质量是每位会员应尽的义务!(你应了解下对于病毒的定义.
破解project -1 请勿灌水,提高回帖质量是每位会员应尽的义务!
jjshuaiye -1 请勿灌水,提高回帖质量是每位会员应尽的义务!
lcwww + 1 哇,原来小偷收集用户信息和强制弹窗还不能设置关闭才叫靠谱工具?想必阁下.
无所谓我养你啊 + 1 球球你快滚?
独存 + 1 不靠谱还进来看🍋呢?
zhjjhz + 1 都说了收集浏览器浏览历史,越级行为。
5ixk + 1 xswl,未经同意收集用户信息和未经同意释放可能给用户带来困扰的行为,病毒.
ewq3391093 + 1 看到反对150多就放心了
aini2008ha + 1 任何非用户意愿的,无法根除的广告为何不算病毒?岂止于病毒

查看全部评分

推荐
牙刷哥哥 发表于 2020-6-5 22:41
win10自带的输入法香喷喷

免费评分

参与人数 3吾爱币 +1 热心值 +3 收起 理由
JavenC + 1 + 1 就是和Adobe软件的兼容性不行,因为win10输入法崩了好多次,逼我换输入法,.
练级大师 + 1 深蓝词库转换了解一下,然后换个输入法,美滋滋。
YuniNan0 + 1 免费无广告的系统自带输入法,真香~

查看全部评分

推荐
tzxinqing 发表于 2020-6-7 08:07

被火绒查杀后的骚操作

免费评分

参与人数 2吾爱币 +1 热心值 +1 收起 理由
wsdsl1 + 1 我的也是如此,看来该换了,现在特殊字界面都调不出来了
hill_king + 1 我今天也是这样

查看全部评分

推荐
 楼主| 火绒安全实验室 发表于 2020-6-9 10:42 |楼主
ajy360 发表于 2020-6-6 15:31
广告程序也算病毒?怎么都跟猎豹垃圾清理、腾讯安全管家一个德行,之前对火绒还有几分敬意,现在看来跟360 ...

您好,该广告模块还存在收集浏览器数据等越位行为。

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
小弦 + 1 + 1 谢谢@Thanks!
舌尖上的幻想乡 + 1 + 1 NICE我说这几天怎么没有了

查看全部评分

推荐
smldhz 发表于 2020-6-5 22:39


刚更自动更新完就弹窗还吓我一跳 仔细一看原来是这个.
你是真的皮,这么硬刚友商好吗?好好好好好好!!!!
推荐
bpzm1987 发表于 2020-6-5 23:49
我用360安全卫士,里边有软件净化功能,可恶的广告被干掉了。
推荐
fuhaokj 发表于 2020-6-10 12:57
ajy360 发表于 2020-6-6 15:31
广告程序也算病毒?怎么都跟猎豹垃圾清理、腾讯安全管家一个德行,之前对火绒还有几分敬意,现在看来跟360 ...

强行弹窗还不算病毒?
推荐
tf30 发表于 2020-6-5 22:35
现在的搜狗越来越膨胀,上课的电脑板老跳出广告,严重影响用户体验!
直到把流氓软件都删了,按上火绒,那叫个舒服!
推荐
rhknzp 发表于 2020-6-5 22:38
这种是不是可以向阿里那边举报,然后封他账号
推荐
心如止水Q 发表于 2020-6-5 22:47
舒服了,感谢

截图_2020060522452418206804.png (17.85 KB, 下载次数: 11)

截图_2020060522452418206804.png
12#
Ldfd 发表于 2020-6-5 22:36
刚他不怂。垃圾广告不堪其忧
13#
truch 发表于 2020-6-5 22:40
所以去广告版本有多么重要啊

点评

云控下发的,和是不是去广告版没有关系。  发表于 2020-6-7 08:34

免费评分

参与人数 1热心值 +1 收起 理由
Ars + 1 今天他敢给你乱推广告,明天他就敢拿你的键入数据做大数据广告

查看全部评分

14#
洛枫 发表于 2020-6-5 22:40
舒服!!!!
15#
北辰没有林安 发表于 2020-6-5 22:41
好久不用这个流氓输入法了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-7-5 00:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表