事件概述 - 9月20日，火绒安全威胁情报中心监测到一款锁定浏览器主页的病毒加速蔓延，病毒源头指向搜狗输入法 [1] - 9月25日，“腾讯搜索输入法”知乎账号回应称，问题源于一项未正式发布的测试功能因测试配置异常导致外部可访问，并非“存在病毒漏洞” [1] 病毒传播机制 - 病毒通过搜狗输入法的底层基础组件Shiply发布通用模块，向云端请求控制配置 [1] - 云控配置会结合用户所在地区、时间等维度进行精准推送 [1] - 攻击者可能利用Shiply平台的灰度发布能力，先进行小范围测试验证效果，再进行大规模传播 [1] - 病毒推广模块会检测用户设备上的杀毒软件，并通过篡改配置文件的方式，强制修改Edge与Chrome浏览器的主页及默认搜索引擎设置 [3] 公司应对措施 - 公司于9月20日发现问题后第一时间完成修复，称不会对用户实际使用造成影响 [3] - 公司对此事件带来的困扰深表歉意，并表示将进一步加强测试流程管理，防止类似情况再次发生 [3] 安全行业动态 - 火绒安全方面披露了该病毒的传播细节 [1] - 目前，火绒安全产品可对上述病毒推广模块进行拦截与查杀 [3]