搜狗输入法再分析：只针对小白用户进行流氓推广安装

显示全部楼层 · 2017-9-7 16:40:52

本帖最后由去西边于 2014-11-6 23:26 编辑
0x00
前几天在论坛上看到《搜狗输入法彻底沦为流氓软件了，竟然模拟用户点击安装浏览器！》（http://bbs.kafan.cn/thread-1782639-1-1.html）的帖子。堂堂的大搜狗，竟然用这么恶劣的手段，可耻啊可耻啊。
帖子最后说，搜狗通过云控只针对北上广外的用户进行流氓推广。实际分析发现搜狗不但有地域限制，还会对目标电脑进行筛选，只要符合筛选就会触发流氓安装行为。
以下是我的分析。
0x01，首先检测电脑上有没有安装360的软件。这么做很明显是想绕过360监控。

01.jpg (25.36 KB, 下载次数: 19)
下载附件
2014-11-6 23:25 上传

0x02，其次电脑上有没有安装Safari或chrome浏览。可能是因为使用Safari或chrome多是办公白领、专业IT人员，不容易骗。
另外，还会通过COM信息检查有没有访问过微博、登陆过搜狗论坛、上过360论坛。也确实，懂得用这些的用户懂得维权，发现流氓捆绑一定会去微博或论坛上反馈。并且，要是再给自己的老用户捆绑一次岂不是遭唾弃？！

02.jpg (27.18 KB, 下载次数: 9)
下载附件
2014-11-6 23:25 上传

03.jpg (10.34 KB, 下载次数: 11)
下载附件
2014-11-6 23:25 上传

04.jpg (12.55 KB, 下载次数: 5)
下载附件
2014-11-6 23:25 上传

0x03，最后一个条件更智能——搜狗还会对电脑的使用时间、计算机程序空闲状态进行计算，当发现电脑cpu比较空闲的时候再进行偷偷安装。那点小聪明，搜狗全用到这里了。
有兴趣的同学可以再仔细分析下提供的下载地址文件，很有意思。
另外，之前的下载地址http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe已经失效了，原因嘛......大家都知道怎么回事。但是，在原先的地址数字的末尾+1，换成这个：http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7806.exe 就可以继续下载了。应该是推广的版本每天都变，服务器上有很多，大家可以按要求直接匹配下载。
PS，上面的地址指不定什么时候就被和谐掉，大家下载后，还是尽快保存上传到云端保存。

千问 · 2017-9-7 16:40:52

千问 · 2017-9-7 16:40:52

学习了。十分感谢~

千问 · 2017-9-7 16:40:52

就是这样的啊。。。