火绒安全威胁情报中心发布技术分析报告，曝光搜狗输入法通过云控下发机制，在用户不知情的情况下篡改浏览器配置，强制修改用户主页和默认搜索引擎设置。此恶意行为涉及搜狗输入法15.7.0.2192版本。

一、云控系统精准投放恶意配置

据火绒安全技术团队分析，搜狗输入法通过其Shiply终端基础发布通用模块向云端请求控制配置，在下发云控配置过程中会结合用户画像进行精准推送 。该系统会根据用户所在地区、使用时间等多个维度进行定向投放，由于Shiply平台具备灰度发布能力，攻击者很可能先通过小范围灰度测试验证效果，再进行大规模传播。

攻击流程图（源：火绒安全）

整个过程极为隐蔽，通常在用户毫无察觉的情况下完成：

触发机制：当用户使用搜狗输入法时，搜狗输入法借助SGBizLauncher.exe程序附加参数"-lappid=configupdate"进行云控配置拉取，其核心组件SogouPY.ime会被系统加载。该组件会每隔六小时通过名为SGBizLauncher.exe的程序，向云端服务器请求最新的控制配置 。当用户切换至搜狗输入法时，该DLL组件会被自动加载，从而触发后续的云控下发机制。

6小时间隔拉取云端配置（源：火绒安全）

恶意模块下发：一旦云端指令下达，输入法程序便会下载并执行恶意推广模块https://ime.gtimg.com/pc/brspgchange20250811x64_a.dat，下载完毕后，运用 MD5 算法计算所得 MD5 值，并与 task_body_md5 进行比对，以确认二者是否一致。下载的配置文件经过加密处理，其解密需运用云控配置中的 key（98c0b113a40fe1790d9e116d75dcfcff） 与字符串 "secret" 异或出新的 key，随后以该新的 key 为密钥，采用 AES 算法 CBC 模式进行解密。随后，将解密后的推广模块以手动加载的方式载入内存，由此进入推广模块的主要逻辑。

篡改浏览器配置：恶意模块会直接对Chrome、Edge等主流浏览器的核心配置文件（如Preferences、Secure Preferences等）进行修改，强制将用户设定的主页和默认搜索引擎更改为推广网址 。

篡改浏览器的内容（源：火绒安全）

篡改后的浏览器配置（源：火绒安全）

二、恶意模块专门锁定主流浏览器

火绒安全监测发现，该恶意推广模块会首先检测用户设备上的杀毒软件（尤其是360安全和火绒安全），随后通过篡改配置文件的方式，强制修改Edge与Chrome两款主流浏览器的主页及默认搜索引擎设置 。具体而言，恶意模块会修改浏览器的Preferences、Secure Preferences、Bookmarks等关键配置文件，实现对用户浏览习惯的强制干预。

通过写入 Preferences 与 Secure Preferences 配置文件的方式将 template_url_data 中 url 设置为 https://baidu.wenxin9.com/?word={searchTerms}&type=0002&ie={inputEncoding}。之后用户再次搜索内容时先跳转到 https://baidu.wenxin9.com/?word=搜索内容&type=0002&ie=UTF-8，最终跳转至 www.baidu.com/s?tn=75144485_10_dg这类带有来源标识的链接并从中获利。

地域性精准打击策略：据技术分析显示，搜狗的云控系统具有地域识别功能，会根据用户所在地区下发不同的配置，这种精准投放策略使得部分地区用户更容易成为受害目标。

三、弹窗广告触目惊心

强制弹窗广告泛滥：搜狗输入法通过输入法组件biz_helper.exe 程序传递参数type=systoast 启动以试图弹窗。弹窗初期可以通过点击弹窗中的“…”选择《关闭搜狗输入法的所有通知》或《转到通知设置》进入系统通知设置中关闭搜狗输入法弹窗通知，从而关闭弹窗。但用户反馈该方法只能满足初期的诉求，一段时间后发现弹窗中“…”后两个按钮都变成灰色，导致进入系统通知设置，也无法关闭搜狗输入法相关选项。

避免弹窗的3种方法：

1. 全局通知开关：Windows系统自带设置中全局通知开关，将开关数据存储于注册表 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\PushNotifications 项 ToastEnabled 键值中。

2. 局部搜狗输入法通知开关：系统自带设置中局部通知开关，将开关数据存储于注册表 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Notifications\Settings\Sogou.Ime.SysToast.Biz 项 Enabled 键值中。

3. 搜狗输入法自带开关：搜狗输入法设置中《桌面右下角推荐》选项，该选项数据将会存储于注册表 HKEY_CURRENT_USER\SOFTWARE\SogouInput.store.user 项 systoast_enable 键值中。

然而发现搜狗输入法会根据云控下发的配置（systoast_general_config_1）忽略全局通知开关（ignore_sglb_switch）、局部搜狗通知开关（ignore_sys_switch）、搜狗输入法设置开关（ignore_ime_switch）等，并无视用户所配置的开关，其中实测发现若关闭系统中开关，则无法弹出窗口。另外，分析时获取到的云控配置中并未包含 ignore_ime_switch 字段，意味着当前云控配置下搜狗输入法提供的弹窗开关是有效的。

编辑：小熊猫

封面：初   心

综合于火绒安全

阅读原文：https://mp.weixin.qq.com/s/PDTkXYYuzQy-O7KzSqxayw