華碩RT系列無(wú)線路由器存在漏洞，也許遭受中間人攻擊

不知道從什么時(shí)候開(kāi)始，上網(wǎng)變成了搜狗瀏覽器。卸載后，過(guò)幾天又莫名其妙安裝上。搜狗也算是名門(mén)正派，竟然會(huì)用這么惡劣的手段捆綁軟件！這么做跟病毒有什么區(qū)別？！

專(zhuān)門(mén)花時(shí)間重現(xiàn)了搜狗推廣的手段，順手看到搜狗還有一個(gè)調(diào)試信息輸出開(kāi)關(guān)，只要增加一個(gè)注冊(cè)表值，如果有這個(gè)鍵值就會(huì)把調(diào)試信息打出來(lái)，開(kāi)著debugview就能監(jiān)控到搜狗在搞什么小動(dòng)作：

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USERSoftwareSogouInput] "lotusdebug"=dword:00000001

如果電腦沒(méi)有裝360，搜狗輸入法直接就去服務(wù)器下載運(yùn)行一個(gè)推廣程序，這個(gè)地址就是搜狗服務(wù)器上的一個(gè)靜默推廣包：

http://download.ie.sogou.com/se/semini/SEMini_3.0.0.571_7805.exe

如果電腦有360，搜狗輸入法推廣瀏覽器的云控代碼都在內(nèi)存里，大概過(guò)程是這樣的：

第一步，靜默下載。sogoucloud.exe和云端通信，根據(jù)云端指令把搜狗瀏覽器的安裝包下載回來(lái)。云控?cái)?shù)據(jù)域名請(qǐng)求是下面抓包的內(nèi)容：

第二步，經(jīng)過(guò)請(qǐng)求內(nèi)容解密出代碼，代碼功能里有從搜狗官網(wǎng)下載安裝包，創(chuàng)建隨機(jī)目錄把安裝包放進(jìn)去，都是一些常見(jiàn)下載工具的目錄，比如把搜狗瀏覽器安裝包放到360、百度或者迅雷的下載目錄里，不管你電腦里有沒(méi)有裝這些軟件：

搜狗瀏覽器的安裝包還會(huì)被放到以下固定的地方，都是搜狗輸入法的目錄，省的下次再去下載了。大家可以到下圖中標(biāo)紅的路徑里找找，類(lèi)似sgim_sehelper.bin之類(lèi)的文件都是搜狗瀏覽器的安裝包：

第三步，模擬用戶點(diǎn)擊來(lái)安裝搜狗瀏覽器。 explorer里的sogou.ime會(huì)下載遠(yuǎn)控的shellcode執(zhí)行后選擇時(shí)機(jī)去推廣瀏覽器，通過(guò)PostMessageW發(fā)消息自動(dòng)模擬點(diǎn)擊下 載好的瀏覽器，這個(gè)瀏覽器安裝包也通過(guò)進(jìn)程間通信隱藏了安裝界面，所以莫名其妙就裝上了。如果一直盯著，全過(guò)程只會(huì)看到電腦上突然打開(kāi)一個(gè)文件夾，又被關(guān) 掉，然后就多了個(gè)搜狗瀏覽器。

PostMessageW模擬點(diǎn)擊這都是我以前寫(xiě)外掛時(shí)最常用的，不過(guò)我是用來(lái)操作游戲，搜狗用來(lái)搞流氓推廣。