火绒安全称监测到一款锁定浏览器主页的病毒加速蔓延，源头指向搜狗输入法。该输入法通过 Shiply 终端基础发布通用模块向云端请求控制配置，结合用户画像精准推送。病毒推广模块会检测杀毒软件，篡改配置文件修改 Edge 与 Chrome 浏览器主页及默认搜索引擎，火绒安全产品可拦截查杀。样本分析方面，介绍了搜狗输入法 15.7.0.2192 版本云控配置获取与推广模块下载过程，包括配置拉取、参数设置、数据库对应等，还分析了推广模块功能，如检测杀毒软件、浏览器及进程，修改默认搜索引擎等，新版还会修改主页。此外，搜狗输入法还有桌面右下角弹窗推广问题，弹窗初期可通过系统通知设置关闭，但后期部分设置会变灰或消失，可通过关闭全局系统通知开关、修改注册表值或按特定步骤关闭「桌面右下角推荐」来尝试解决。