火绒安全软件

标题: 搜狗输入法可能存在未经过允许后台下载软件的行为 [打印本页]

作者: ldfxs 时间: 2018-1-7 13:05
标题: 搜狗输入法可能存在未经过允许后台下载软件的行为
今天在电脑上面整理以前的别缓存备份的文件的时候，因为硬盘大小不够，我把这些临时文件进行了压缩，
发现了里面有一个叫 DllForSogou20160921103449[1].dll 的文件，带有腾讯的数字签名。
因为大小超过一般DLL文件所以我用7zip打开，发现这是一个经过伪装的7z文件，里面是腾讯的电脑管家软件，而这个DLL文件可以直接解压，
里面还包含一个XML文件，疑似软件的执行脚本。
其实在此之前，搜狗输入法在后台下载软件也不是一次两次了，之前还有过搜狗浏览器的安装包在临时文件目录下面被发现，那个时候还是一个EXE文件可以直接运行，
现在则通过伪装成一个DLL文件并且带上腾讯的数字签名，以此来免杀，不过DllForSogou20160921103449[1].dll还是那么大（50mb）
远远大于一般的临时文件（约200k-5m）和一般的DLL文件，因此不得不怀疑其真实目的（下面是截图和那个文件）

DLL源文件下载：https://pan.baidu.com/s/1kVxiE7l

作者: 琥珀川 时间: 2018-1-7 13:08

消息可以确认吗?

作者: ldfxs 时间: 2018-1-7 13:13

琥珀川发表于 2018-1-7 13:08
消息可以确认吗?

淡定，他只是后台下载了，还没有运行或者是安装
（好在火绒在某些软件后台安装的时候会阻止）

作者: HuoRong丶小宇 时间: 2018-1-7 13:21
您好！

这个是腾讯的推广，我们应该是可以拦截的，我们也会实时跟进这种情况。

多谢反馈。

作者: 肚子饿就吃饭 时间: 2018-1-7 13:47
真够流氓的

作者: ldfxs 时间: 2018-1-8 16:42
发现一个细节，上传这个文件到百度网盘是极速秒传，而不是正常的慢慢上传。。是不是就可以说明，这个文件在上传之前，这个文件就已经存在在百度盘上面了？！

作者: 肚子饿就吃饭 时间: 2018-1-12 17:23
下绿色版。。

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)