国产软件的流氓化看起来已经蔚然成风,在安装到电脑之后,它们就不想再离开,甚至它们还想将同一家族的产品通过后台下载全部推送给你。搜狗输入法最近就被发现悄悄推送了搜狗浏览器。
一位用户用debugview分析了搜狗输入法,发现搜狗的做法和恶意程序几乎没有差别:先是连接云服务器,根据指令将安装包下载下来;然后创建随机目录把安装包放进去,比如把搜狗浏览器安装包放到360、百度或者迅雷的下载目录里,不管你电脑里有没有装这些软件;最后,搜狗输入法进程sogou.ime会下载远程控制的shellcode执行后选择时机去推广浏览器,通过PostMessageW发消息自动模拟点击下载好的浏览器,浏览器安装包也通过进程间通信隐藏了安装界面,所以用户在不知不觉中就会被安装上。如果一直盯着屏幕,你可能会看到电脑突然打开和关闭一个文件夹,然后就多了个搜狗浏览器。