火绒安全软件
标题: 搜狗输入法强制推广“618红包广告” 用户不堪其扰 [打印本页]
作者: huoronganquan 时间: 2020-6-5 21:57
标题: 搜狗输入法强制推广“618红包广告” 用户不堪其扰
【快讯】
临近6.18电商促销日,火绒在官方微博、微信等平台收到不少用户反馈,称电脑不断出现托盘闪烁弹窗,点击后即为淘宝天猫的6.18促销网页。火绒工程师溯源调查后发现,该弹窗均来自于常用软件“搜狗输入法”,该广告配置通过云控下发,无法通过设置关闭。进一步分析发现,该软件除了疯狂弹窗,还存在统计用户浏览器浏览历史数据等越位行为,符合广告程序的定义。目前,火绒已对该软件中广告模块进行拦截查杀。
查杀图
根据分析,“搜狗输入法”通过云控,向用户下发专门添加了用以在6.18期间弹窗的相关组件,该组件与“搜狗输入法”主程序功能之间并无任何关联作用。用户安装运行“搜狗输入法”后,就会频繁收到托盘闪烁弹窗,如果不小心点击,就会打开关于天猫6.18整个推广促销网页。
虽然右键可暂时退出该弹窗,但根据其云控下发的配置,5小时后仍旧会再次顽固弹出,循环往复,严重影响了用户的正常上网及工作。
除此之外,更为严重的是“搜狗输入法”还会收集用户本地的安全软件、广告拦截工具的运行状态,甚至搜集用户IE浏览器和搜狗浏览器历史记录数量和页面标题数量,并回传至后台服务器,推测用以制作用户画像进行精准推广。该行为涉及隐私数据,严重越位。存在损害用户权益的风险。
由于该软件下载量较多,导致受影响的用户范围较大,火绒在用户群、论坛、微博、微信、邮箱等各平台均收到大量的相关反馈与私信求助。目前,火绒最新版已对“搜狗输入法”内的弹窗与搜集用户信息的模块进行拦截查杀。需要注意的是,火绒查杀该广告模块后或导致“搜狗输入法”的“工具”功能无法使用,但不影响键入文字等主要功能。
图:火绒各平台的私信求助
图:火绒用户群的反馈情况
图:火绒论坛反馈信息
图:知乎相关话题讨论
弹窗问题由来已久,继去年人民日报点名批评弹窗乱象后,今年两会期间也有***委员建议将过度弹窗的软件厂商列入失信名单。但随着流量经济愈发至上,部分软件厂商已然越过雷池,将弹窗流氓化、病毒化,对于此类软件和程序,火绒将会持续、及时进行拦截查杀,保护用户权益。同时我们也呼吁广大软件厂商抱表寝绳,合理逐利,注重用户体验才能长远发展。
附:【分析报告】
一、 详细分析
近期,搜狗输入法用户大量遇到6.18托盘广告弹窗的情况,该流氓推广行为通过云控下发,在搜狗输入法界面中未发现相关功能开关。广告弹窗程序showinfo.exe由sgutil.dll释放执行,sgutil.dll被sgtool.exe调用。相关代码,如下图所示:
sgtool.exe加载执行sgutil.dll
sgutil.dll执行”StartPopupServer”导出函数后,会根据云端配置释放执行托盘广告模块showinfo.exe。相关代码,如下图所示:
根据配置决定是否释放执行showinfo模块
showinfo模块
showInfo.exe模块主要负责弹出桌面托盘广告图标及更新广告配置。当此模块运行之后,首先会对存放于%Appdata%LocalLowSogouPYPopup raynet目录下的配置资源config.ini进行AES解密并读取其中的配置信息,相关信息如下图所示:
AES解密并读取配置信息
解密后的config.ini配置信息如下图所示:
解密后的config.ini信息
解密并读取配置信息无误之后,showInfo.exe模块便会收集:系统硬件签名、主机运行的安全软件等信息,连同搜狗输入法的版本信息一起回传。收集的安全软件信息如下图所示:
收集的安全软件信息
收集安全软件运行信息相关代码如下图所示:
收集安全软件信息
收集的安全软件信息以标记位形式发送给服务器(sfsw及sfw参数中0,1代表各家安全软件运行状态。0代表未运行,1代表正在运行),相关信息如下图所示:
收集的主机信息内容
收集完所需的主机信息之后,程序便会将其与“http://api.pinyin.sogou.com/v1/bubble/ad“加密发送给服务器“http://get.sogou.com/q”, 发送加密信息相关代码如下图所示 :
发送加密信息
传输的数据信息
服务器根据发送信息,返回加密数据。程序通过AES算法解密之后便得到托盘广告所需的配置信息,解密数据相关代码如下图所示:
AES解密返回数据
解密后的配置数据如下图所示:
解密后的配置数据
当得到所需的托盘广告配置信息以后,程序便将其AES加密并更新到%Appdata%LocalLowSogouPYPopup raynet目录下的net.ini文件中。之后,开始检查当前系统时间是否在net.ini配置中所规定的“sdate”到“edate”时间范围之内,并且查询当前系统时间距离上次关闭广告托盘的时间(config.ini中的lastclose字段值)是否大于5个小时(net.ini中的interval字段值),满足上述两个条件则弹出托盘广告,相关代码如下图所示:
时间检测
弹出广告托盘相关现象如下图所示:
广告托盘
sgutil模块
在sgutil.dll加载执行后会根据云端返回的配置决定是否弹出托盘广告,广告弹窗的功能开关只能由云控页面控制(hxxp://api.pinyin.sogou.com/v1/config/netswitch_pc),在搜狗输入法界面中,未发现相关弹窗功能开关。从云端请求的配置信息中“trayad”为弹出开关标记位,如下图所示:
云端配置
当“trayad”标记位为1时,sgutil.dll会从资源中释放执行showinfo模块。相关代码,如下图所示:
从资源中释放showinfo模块
sgutil.dll会间隔6个小时取最新云端开关的状态。相关代码,如下图所示:
请求云端开关配置
并且根据不同地区多次测试发现,请求到的开关配置会有所不同。相关现象如下图所示:
不同地区多次测试得到不同的配置
sgutil.dll除了会释放showInfo.exe外,还会收集Chrome内核浏览器和IE浏览器的历史记录信息。虽然历史记录中的URL、标题等数据也会进行收集,但是尚未发现上传上述数据的相关代码逻辑,现阶段仅会上传历史记录条目数量。在获取Chrome内核浏览器历史记录信息时,首先会根据预留的浏览器历史记录数据库路径找到数据库所在位置,如果预留路径为空,则不会执行任何操作。除IE浏览器外,现阶段最新的sgutil.dll模块只会获取搜狗浏览器的历史记录信息。获取Chrome内核浏览器历史记录信息,相关代码如下图所示:
搜集用户浏览器历史中的标题个数
获取搜狗浏览器历史记录信息相关代码,如下图所示:
获取搜狗浏览器历史记录信息
获取其他浏览器历史信息相关代码,如下图所示:
获取其他Chomre内核浏览器历史记录信息
在搜集历史记录信息结束后,会将搜狗浏览器历史记录条目数拼接到HTTP请求参数中。相关代码,如下图所示:
将收集到的浏览器历史信息拼接为HTTP请求参数
获取IE浏览器中历史记录条目数和标题数相关代码,如下图所示:
收集IE浏览器历史记录信息
上述收集到的浏览器历史记录条目数量和标题数量,会被拼接为回传数据的请求链接地址,回传地址为:hxxp://ping.pinyin.sogou.com/webtitlequery.gif。相关代码,如下图所示:
拼接上传浏览器历史信息的请求参数
由于在目前最新模块中发现了疑似查找360安全浏览器等其他浏览器相关逻辑,但统计这些浏览器浏览历史的代码逻辑无法激活,所以推测以往版本中该模块曾安插过统计其他浏览器浏览历史的代码逻辑。通过分析发现,在2015年的sgutil.dll模块中,我们发现该模块会收集更多不同浏览器的历史记录信息,包括:360安全浏览器、搜狗浏览器、Chrome浏览器、360极速浏览器、猎豹浏览器和淘宝浏览器。相关代码及数据,如下图所示 :
早期的sgutil.dll模块历史记录信息收集代码
2015年的sgutil.dll模块文件信息及数字签名信息,如下图所示:
2015年的sgutil.dll模块文件信息及数字签名信息
二、 附录
相关文件hash
作者: 虚妄的妄语 时间: 2020-6-5 22:05
顶,就该抵制搜狗这种流氓行为
作者: hspe 时间: 2020-6-5 22:08
火绒好样的 是真的为了用户而生 不过动了大佬利益有点担心
作者: 1337651963 时间: 2020-6-5 22:09
其实我早就纳入阻止运行了,搜狗这一波实在太恶心了,但没办法,里面的皮肤、输入习惯都在里面,为了方便办公忍着吧。。。
作者: 埃菲尔铁塔 时间: 2020-6-5 22:10
好评
作者: Vstiv 时间: 2020-6-5 22:15
搜狗牛皮
作者: Healer 时间: 2020-6-5 22:33
支持支持,搜狗输入法这样的行为确实恶心
作者: 网民用户 时间: 2020-6-5 22:35
我用了六七年的搜狗,没想到它竟然如此厚颜无耻,还装出一副毫不相干的样子,装的自己很奴婢,骗流量,骗小白。跟2345、360、百度网盘是一路货色。每次都说:“X亿用户的选择”,想想都没那么多。
作者: 网民用户 时间: 2020-6-5 22:39
hspe 发表于 2020-6-5 22:08
火绒好样的 是真的为了用户而生 不过动了大佬利益有点担心
那个不叫大佬,叫无良厂商
作者: 网民用户 时间: 2020-6-5 22:41
网民用户 发表于 2020-6-5 22:35
我用了六七年的搜狗,没想到它竟然如此厚颜无耻,还装出一副毫不相干的样子,装的自己很奴婢,骗流量,骗小白。 ...
前期赚用户,后期“宰”用户
作者: Chunk7 时间: 2020-6-5 23:15
支持火绒,不过我有个问题,SGTool.exe 被隔离之后会导致搜狗拼音设置无法打开,请问这个进程是否也和 ShowInfo.exe 一样有害?
作者: g20blazeit 时间: 2020-6-5 23:55
感谢火绒高效率的解决这个问题!
作者: Theking 时间: 2020-6-6 00:22
讯飞输入法路过
讯飞输入法自带强大的语音输入功能,一分钟400字语音带你飞!电脑版毫无广告!(官网下载,手机版除外!)没有任何广告弹窗!只有几个默认皮肤!整洁!个人强烈推荐!不是广告!没有附属链接!要下载上百度搜!
作者: AxionnG 时间: 2020-6-6 00:27
现搜狗出现了新的诈骗弹窗,提示输入法修复文件被损坏,诱导用户重新安装输入法。
-
作者: 1012127092 时间: 2020-6-6 00:29
感谢火绒,我说刚才怎么看火绒查杀了一个搜狗名称的病毒,不过搜狗竟然还提示受损,让我去官网下载最新版本
作者: Invalid_ID 时间: 2020-6-6 01:15
搜狗是明显情商不够用,中国人不是不能接受广告,但要搞明白人民最忌讳什么样的广告。popup型广告就是国人共同的大忌。
可以学学网易旗下产品的广告投放模式。
我本人使用四款网易产品,就从没有嫌弃过网易的广告。(网易UU,网易mumu,网易云音乐和网易有道词典)
而且我整天在看B站女装、美妆广告。。
作者: 小月雨田 时间: 2020-6-6 02:15
我也是,很早之前就发现有这个问题,后来,就手动禁止其运行……
作者: 顾梓豪 时间: 2020-6-6 06:55
谷歌輸入法還是挺好的,我Win10打一些遊戲都會卡出搜狗輸入法,打字的時候卻沒彈出來,建議大家體驗下
作者: YYYFan 时间: 2020-6-6 07:21
这次上论坛就为了这事,看到置顶红字进来看看,牛批就对了
作者: maphuo 时间: 2020-6-6 10:32
火绒威武,就得怼死这些流氓软件
作者: z1379 时间: 2020-6-6 10:39
因为这个就是设置的程序,所以打不开设置。这点的话,对小白用户就很苦恼了
作者: www. 时间: 2020-6-6 10:51
火绒大大能不能再看下wps的wpsinfo.exe程序啊,天天弹广告,烦死了,我任务管理器每天硬要把他进程给结束了……
作者: 2884omgpy 时间: 2020-6-6 10:57
还是微软拼音输入法方便,Windows 8.1/10自带,而且Windows+.可以召唤软键盘
作者: YLMF 时间: 2020-6-6 11:21
今早开机所有搜狗输入法SGTool.exe全部被火绒查杀了,然后提示去官方网站更新,请问是否属于诈骗弹窗行为。搜狗这波很不厚道啊!!!
作者: Vstiv 时间: 2020-6-6 11:58
电脑版讯飞有同步词库功能吗?
作者: babao 时间: 2020-6-6 12:11
细思极恐呀,突然发现我的小米手机里用的是自带的搜狗输入法呀。
是不是也有类似的机制收集我的个人信息。。
作者: babao 时间: 2020-6-6 12:14
想问下,微软拼音支持手写输入吗?有时候我会用到搜狗输入法的手写板
作者: 汪子凯本人 时间: 2020-6-6 13:31
明天开电脑杀一杀,正好我也在用搜狗
,话说这个会不会一直报?它会自动恢复过来的
作者: 白饭卡 时间: 2020-6-6 13:36
专门注册个账号上来赞你的,谢谢
作者: skylfy 时间: 2020-6-6 14:16
我已经卸载搜狗输入法了,改用系统自带的微软拼音!
作者: 勇敢的兔小炮 时间: 2020-6-6 14:19
挺好的,能为用户着想。。赞一个。。
作者: 勇敢的兔小炮 时间: 2020-6-6 14:22
讯飞输入法 是没有广告,可惜的是 电脑版的不能登录。。很郁闷。。希望讯飞输入法可以重视PC端吧。。搜狗现在距离用户越走越远。讯飞输入法这个时候 一定要加油啊。。。
作者: 勇敢的兔小炮 时间: 2020-6-6 14:26
搜狗提示我,让我去官网重新下载,不然没办法打字了。。大爷的,没办法打字 我不会换讯飞输入法?这个市场上非你不行? 讯飞输入法 PC端 如果重视起来 有用户登录,可以记录个人用词习惯,我立马换输入法
作者: 95836575 时间: 2020-6-6 14:46
哪位大神能告诉我该怎么办,今天打开电脑,火绒提示我发现威胁,之后输入法的工具箱和设置就打不开了,卸载重装都不行了????急
作者: chunlei233 时间: 2020-6-6 15:22
早就不用搜狗输入法了,还有自从QQ输入法转为搜狗代理后,QQ输入法也变质了.现在使用微软自带的,
作者: slev 时间: 2020-6-6 15:26
没有了SGTool.exe是打不开设置的,要么换搜狗,要么换火绒(可以试着排除一下);
为什么不换个输入法呢,就算用搜狗也可以用去广告版,ZD或星空的都不错
作者: yonxi3 时间: 2020-6-6 15:45
搜狗输入法只能找精简版,不然自找麻烦了。
作者: 95836575 时间: 2020-6-6 16:02
我的词库、我的自定义短语、我的表情,舍不得。对搜狗输入法还是有感情的。
难道只能二选一吗?
作者: freeyangwin 时间: 2020-6-6 17:55
火绒好样的。看着欧盟弄出了GDPR微软谷歌等都给我邮箱里三天两头发他们更改隐私条款以遵循GDPR,搜狗之流反而在那儿变本加厉违法实在是很生气!
作者: 寻觅 时间: 2020-6-6 18:59
我卸载了
作者: 937121416 时间: 2020-6-6 19:35
幸亏我用win10自带输入法,挺好用
作者: Cerina 时间: 2020-6-6 19:41
隐私和方便2选1呗,不但弹窗,还直接上传浏览器历史记录了
作者: Invalid_ID 时间: 2020-6-6 21:07
词库,自定义短语跟这个没关系,可以继续用。
影响的是 “工具箱”里的部分功能
作者: 醉月 时间: 2020-6-6 22:50
虽然不用搜狗。但是这波干得漂亮
作者: LEOX 时间: 2020-6-6 22:53
这是附带效应,搜狗输入法的设置和工具箱需要依赖那两个exe程序。
你可以理解为,搜狗把推广和设置,工具箱的部分捆绑在一块了,随便杀一个,其他的也会遭殃。
作者: 不是背影杀手 时间: 2020-6-6 22:57
搜狗过了
作者: ymk0577 时间: 2020-6-7 05:08
我已经彻底放弃搜狗有关的软件了。能开源的我就用开源的软件。
win10下,默认的输入法也是不错的了。
就算我的ubuntu环境,我也基本上就是自带的就够用了。

作者: honggutong 时间: 2020-6-7 08:55
我认为这类软件只能算PUP,并不能称之为病毒软件。
作者: wangqilin 时间: 2020-6-7 10:33
火绒永远滴神,我刚出现这个我自己还用火绒剑去找到这个文件吧后缀名给他改成txt结果 过没多久又给你覆盖上exe文件妈的
作者: 1103426567 时间: 2020-6-7 14:51
不用搜狗了就好【表情】
作者: 1103426567 时间: 2020-6-7 14:53
输入习惯慢慢适应吧。没办法
作者: Kimi 时间: 2020-6-8 11:30
支持火绒
作者: qazwer532 时间: 2020-6-8 13:44
各位用微软官方的输入法吧,这次win10 2004还更新了
作者: 小小鸟 时间: 2020-6-8 14:54
吃相太难看了 幸亏我不用搜狗
作者: 孤帆远影 时间: 2020-6-8 16:27
干得漂亮!


作者: Libra_1107 时间: 2020-6-9 07:22
火绒的科普依然一如既往的硬核,赞了
作者: fool 时间: 2020-6-9 09:30
我觉得微软自带的输入法,很好用了
作者: dzt 时间: 2020-6-9 09:56
百度输入法的路过
作者: www.huorong.cn 时间: 2020-6-9 17:29
干得漂亮!
作者: 重庆客运段 时间: 2020-6-9 17:42
www. 发表于 2020-6-6 10:51
火绒大大能不能再看下wps的wpsinfo.exe程序啊,天天弹广告,烦死了,我任务管理器每天硬要把他进程给结束了 ...
可以尝试下教育版,教育版我没看到多少广告。
而且很显然,开通会员应该就能解决问题。
要么就买微软office吧
作者: djaj520 时间: 2020-6-9 18:50
hspe 发表于 2020-6-5 22:08
火绒好样的 是真的为了用户而生 不过动了大佬利益有点担心
有我们在呢,实在对抗不下去,大家众筹吧,哈哈哈哈哈
作者: 九月里花开 时间: 2020-6-9 21:13
我一个搞生物的,为什么能看完这个


作者: 皮皮虾与皮皮贝 时间: 2020-6-12 10:38

火绒nb,专治国产软件流氓行为
作者: SmallDay 时间: 2020-6-13 20:51
前几天下载搜狗输入法的时候,然后火绒直接报毒,报了两个广告程序,搜狗输入法贼不要脸,广告程序没了就不让继续安装了,还提示输入法程序被破坏,你一个输入法程序跟广告有啥关系??
作者: ctz822 时间: 2020-6-14 12:44
QQ也一样,有一个组件我忘了名字了,就是弹出微新闻的那个。我把他粉碎了之后群作业就交不了了,绑定的
作者: 风月夜里 时间: 2020-6-14 22:55
问题是怎么屏蔽呢
作者: 风月夜里 时间: 2020-6-15 00:08
我的电脑,除了win10自带的Edge,其他的浏览器第一个网页必定的http://bao7.gndh333.top/这个,我要怎么办,我已经卸载了所有跟搜狗相关的软件了
作者: 我专治各种不服 时间: 2020-6-15 13:56
如果输入法改成收费,但必须只做输入法这一个工作,广告收集隐私不做你愿意付费嘛
作者: Bobo_alcazar 时间: 2020-6-23 18:52
用手心输入法吧。目前非常干净好用。
词库可以导入吧。
作者: vicar 时间: 2020-6-23 19:02
什么时候把360浏览器整治下。
作者: wttb 时间: 2020-6-24 21:34
感谢,搜狗弹窗太多了
作者: i525354 时间: 2020-6-29 13:40
因为这一波流氓操作,我彻底放弃搜狗,改用qq输入法了,真清净
作者: PandoraHearts 时间: 2020-7-19 13:50
搜狗输入法是挺讨厌的,自己从来不用,还得和家里人说下千万别用。
作者: abcdefghi 时间: 2020-7-19 17:06
本帖最后由 abcdefghi 于 2020-7-19 17:07 编辑
后来在火绒查杀完以后搜狗输入法一直提示文件被破坏,让我去官网下新版本,文件被破坏了活该!!!
作者: abcdefghi 时间: 2020-7-19 17:13
我也是,广告程序跟工具箱和设置是捆绑在一块的,删了其中一个另一个就用不了。
作者: 顾梓豪 时间: 2020-7-20 13:33
本帖最后由 顾梓豪 于 2020-7-20 13:37 编辑
火絨不會倒的,它不流氓,不像360
作者: 孟婆汤 时间: 2021-2-17 14:27
我已经给它禁用了,真的恶心
欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |