近期,火绒威胁情报中心监测到一款锁定主页的病毒正迅速传播。经溯源,发现该病毒源头为搜狗输入法。此软件借助 Shiply 发布模块请求云控配置,在下发云控配置时,会依据用户画像或其他因素(如时间、地区等)实施精准投放。Shiply 发布平台具备灰度发布功能,据此推测,可能利用灰度发布开展了小范围测试。其推广的模块会对杀毒软件进行检测,随后通过修改浏览器配置文件的方式,更改 Edge 和 Chrome 浏览器的主页及默认搜索引擎。火绒安全产品可对上述推广模块进行拦截与查杀。
知乎原文:https://zhuanlan.zhihu.com/p/1952446290664359825
