火绒威胁情报中心近日披露，一款锁定浏览器主页的病毒正加速传播，溯源结果显示其源头指向搜狗输入法。

分析显示，搜狗输入法通过其 Shiply 云控平台 精准下发配置，攻击者可按地区、时间进行灰度投放。该模块会在用户无操作时启动，解密并下载推广程序，随后强制篡改 Edge 与 Chrome 浏览器的主页和默认搜索引擎，将流量导向携带来源标识的百度跳转页。

此外，推广模块具备绕过杀毒软件、隐藏系统通知、忽略用户关闭弹窗设置等机制。部分新版模块还新增了修改主页和跳转导航页的功能，进一步干扰用户体验。

目前，火绒已更新安全产品，可拦截并查杀相关模块。

来源: https://mp.weixin.qq.com/s/4lfqX9HYQhl1un8dYbc1hg