事件概述 - 腾讯搜索输入法回应搜狗输入法存在病毒漏洞的不实信息 经核查问题源于一项尚未正式发布的测试功能 由于测试配置异常导致外部可访问[3] - 事件起始于9月20日 火绒安全监测到一款专门锁定浏览器主页的病毒正加速蔓延 病毒源头指向搜狗输入法[4] - 病毒通过篡改配置文件方式强制修改Edge与Chrome浏览器主页及默认搜索引擎设置 火绒安全产品可进行拦截与查杀[6] 病毒传播机制 - 搜狗输入法通过Shiply终端基础组件发布通用模块 向云端请求控制配置 结合用户画像多个维度进行精准推送[4] - Shiply平台具备灰度发布能力 攻击者可能先通过小范围灰度测试验证效果 再进行大规模传播[4] - 病毒推广模块会首先检测用户设备上的杀毒软件 随后实施浏览器配置篡改行为[6] 公司应对措施 - 腾讯搜索输入法于9月20日第一时间完成修复 表示不会对用户实际使用造成影响[6] - 公司对事件带来的困扰深表歉意 承诺进一步加强测试流程管理 防止类似情况再次发生[6]

事件背景 - 事件起始于9月20日 火绒安全在公众号发文称监测到锁定浏览器主页的病毒加速蔓延 溯源指向搜狗输入法 [3] - 病毒通过搜狗输入法客户端底层基础组件Shiply终端基础发布通用模块 向云端请求控制配置 [3] 病毒传播机制 - 病毒推广模块检测用户设备杀毒软件 通过篡改配置文件强制修改Edge与Chrome浏览器主页及默认搜索引擎设置 [3] - 云控配置结合用户画像维度如所在地区与时间进行精准推送 利用Shiply平台灰度发布能力进行小范围测试验证后大规模传播 [3] 公司回应 - 腾讯搜索输入法9月25日通过知乎账号回应称问题源于未正式发布的测试功能 因测试配置异常导致外部可访问 [1] - 公司于9月20日发现问题后第一时间完成修复 表示不会对用户实际使用造成影响 [3] - 公司对事件致歉 承诺进一步加强测试流程管理防止类似情况再次发生 [3] 安全防护现状 - 火绒安全产品已可对上述推广模块进行拦截与查杀 [3]

事件概述 - 9月20日，火绒安全威胁情报中心监测到一款锁定浏览器主页的病毒加速蔓延，病毒源头指向搜狗输入法 [1] - 9月25日，“腾讯搜索输入法”知乎账号回应称，问题源于一项未正式发布的测试功能因测试配置异常导致外部可访问，并非“存在病毒漏洞” [1] 病毒传播机制 - 病毒通过搜狗输入法的底层基础组件Shiply发布通用模块，向云端请求控制配置 [1] - 云控配置会结合用户所在地区、时间等维度进行精准推送 [1] - 攻击者可能利用Shiply平台的灰度发布能力，先进行小范围测试验证效果，再进行大规模传播 [1] - 病毒推广模块会检测用户设备上的杀毒软件，并通过篡改配置文件的方式，强制修改Edge与Chrome浏览器的主页及默认搜索引擎设置 [3] 公司应对措施 - 公司于9月20日发现问题后第一时间完成修复，称不会对用户实际使用造成影响 [3] - 公司对此事件带来的困扰深表歉意，并表示将进一步加强测试流程管理，防止类似情况再次发生 [3] 安全行业动态 - 火绒安全方面披露了该病毒的传播细节 [1] - 目前，火绒安全产品可对上述病毒推广模块进行拦截与查杀 [3]