搜狗地址栏搜索的流氓推广

<< Murphy's Law | 首页 | easy to listen, hard to change >>

搜狗地址栏搜索的流氓推广

日期：2009-06-28 | 分类：观察者 | Tags：Maxdos,7.1,so.dll,wmiprvse,DNS劫持,地址栏劫持,流氓,Knlrun.sys

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
 http://glyx.blogbus.com/logs/41602957.html

某日在IE地址栏输入某关键词，发现跳转到了搜狗的搜索页面，大为惊奇，想不到某人也有今天，被流氓了都刚反应过来。如图所示：

在IE地址栏输入sogouliumang这个关键词，回车即跳转到如下的sogou的搜索结果页面：

进一步测试发现，如果在IE地址栏输入由空格隔开的两个关键词，则浏览器会调用默认的搜索引擎：

网易有道是我设置的IE8的默认搜索引擎，不清楚搜狗是技术没达到，还是不想对默认浏览器赶尽杀绝。

打开看门狗查询，发现IE浏览器注册了一个叫so.dll的ActiveX控件，这个控件应该就是用来注册搜狗地址栏搜索的：

用TC自带的lister对这个so.dll进行查询，可以发现如下信息：

里面说的这个Sogou.com Inc, 应该就是搜狗公司吧。

CompanyName : Sogou.com

   FileDescription : Address Bar Search

   FileVersion : 1, 0, 1, 7

   InternalName : so.dll

   LegalCopyright : Sogou.com Inc. (C) All rights reserved.

一开始我以为是装搜狗输入法的时候不小心被流氓了，无奈一笑，直接禁用了这个控件。但重启explorer后，却发现问题依旧。在网上搜索了一下相关的网页，在搜狗输入法的官方论坛找到了和我同样遭遇的一位朋友，下面是截图：

该用户认为这个so.dll是搜狗输入法夹带的私货，但据论坛的其他用户和管理员的说法，安装搜狗输入法是不会有这个流氓的，事实也确实如此，毕竟张朝阳青口白牙说过，搜狗输入法不会耍流氓。

另外一个用户也在论坛里抱怨这个so.dll：

搜狗拼音输入法里有一个文件是so.dll，是加载到浏览器里的搜索引擎文件，也就是专门用于搜狗搜索的，会劫持浏览器。这个文件在安装了输入法后会出现在c:\windows\system32下，可能有些人刚安装了是没有这个文件，后来才出现这个文件。我就是这样，刚安装了搜狗拼音输入法是没有这个文件的，我把输入法里的词库更新全去掉，自动更新也不让它更新，但是输入法还是在更新词库，我就把安装目录里的PinyinUp.exe给删除了，另外新建了一个文件夹，命名为PinyinUp.exe，并设置为只读。但是这个so.dll还是出现了。更霸道的是，这个文件如果反注册卸载后，你的鼠标图标就会一直闪烁。刚开始我并不知道是这个so.dll导致的，重装了几次系统。后来终于想通了，在卸载了这个文件后才出现鼠标闪烁的现象。真是流氓.如果这个问题还不改进，那大家还是换其他输入法好了

有图有真相：

同时，我也发现一个很奇怪的现象，有一个用户也在Maxdos论坛里抱怨这个so.dll：

客户端安全卫士一直在注册流氓软件so.dll ，cpu100%占用

客户端一直在尝试注册 regsvr32.exe /s so.dll 可是不能成功，就一直注册。客户机占用100%，so.dll 是流氓软件，为什么要注册？

见图：

我从中嗅出了一丝共谋的气息，毕竟，国内共享软件的集体流氓化早已不是新闻。较早前我为了给Windows XP系统增加一个方便维护的DOS入口，已经安装了Maxdos 7.1，很可能搜狗借此机会已经进驻我的系统了。

那么，这个客户端安全卫士又是什么呢？我怀疑跟Maxdos有关系，于是我决定重新安装一遍Maxdos 7.1，看看是否有其他异常，下面是安装截图：

Maxdos后期的版本偏重于网吧应用，比如第12条：全新防病毒功能，主要针对网吧和局域网而开发，个人用户请尽量不要安装。我怀疑这个就是客户端安全卫士，后来在安装的最后一步，我也确实发现了这个安全卫士的身影。其实除了许可协议里面提到了搜狗输入纠错程序这个词以外，整个安装过程都看不到有任何安装了搜狗地址栏搜索的选项，这是典型的捆绑式流氓营销行为。周鸿伟已经洗手不干了，你们还来凑热闹，真是的。何况集成ghost本来就是游走在法律边缘的行为，有什么好自傲的。

注意该许可协议所说：本软件已集成搜狗输入纠错程序。那么什么叫输入纠错程序呢？一般而言，如果你机子还是清白之身的话，如果你在地址栏输入了错误的网址格式，网页可能会被DNS劫持到互联星空或114的纠错界面，通常而言就是一个搜索框，外加一些花花绿绿的广告。在2006年以前，这些纠错页面充斥了大量不堪入目的广告。搜狗这个纠错程序应该指的是在中国电信的DNS劫持用户之前，抢先将用户的浏览器劫持到自家的网站上。

根据Maxdos论坛的一位叫堕落的天使的朋友所说：

MAXDOS 7.1 安装以后会在系统盘的 system32文件夹释放 so.dll 、wmiprvse.exe 两个文件，其中so.dll会在IE浏览器中注册，在 system32\drivers 文件夹释放Knlrun.sys文件，Knlrun.sys 会注册成系统驱动。

当在浏览器地址栏中输入了不能解析的域名，搜索词等，so.dll就会对浏览器进行劫持，转向 http://www.sogou.com/ 进行搜索。这个东西你在浏览器加载项里禁止是没有效果的，wmiprvse.exe ，Knlrun.sys 会实时的进行恢复，就是我们常说的流氓软件行为，赶都赶不走。

知道了原理，卸载就方便了，

1、首先关闭电脑里的所有窗口程序，特别是IE，IE开着的时候是无法删除so.dll的
2、找到并删除 system32\drivers里的Knlrun.sys， system32\wmiprvse.exe、system32\so.dll 等三个文件
3、到微软公司下载：
     http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

    Autoruns 这个东西。
   打开autoruns，
     在Internet Explorer选项卡的 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks  里找到
     AddrHelper Class   有Sogou字样的那行，右击，选Delete

   在Drivers 里找到 knlrun   的那一样，右击，选Delete

4、重启计算机，和搜狗流氓软件说拜拜。

其实在MAXDOS刚安装的时候，就可以避免装入搜狗流氓插件。安装的时候在设置完备份文件夹的下一步，就是提示（下载Max网吧安全卫士）的那一步，你千万不要去按下一步，直接按右上角的 X ，弹出【安装程序未完成】，不管它，确定退出即可。这时候，MAXDOS 其实已经完全安装在电脑里了。。。

如果你在上一个界面按下一步的话，流氓搜狗就安装到你电脑里了，所以不想安装搜狗的人就千万别按了。

这里迈思夸奖了自家的驱动级病毒防御功能，就是这个驱动级功能，让我想起了那位天使同学所说的Knlrun.sys文件。无奈之下，我只好先删掉了这个Knlrun.sys文件。

准备删除wmiprvse这个文件时才发现，原来系统的system32/wbem/文件夹下面已经有一个wmiprvse.exe文件了，版本信息如下：

这个文件是正常的系统文件，也有微软的签名信息。Maxdos伪造的wmiprvse.exe在system32/文件夹下面，显示没有任何的版本信息，真假李逵，一望便知。这其实也算是流氓的典型行为了。很多用户都以为这个删不掉的东西是病毒，实际上是迈思暨搜狗联合开发团队推出来的一个流氓程序而已。

参考UPK安全论坛的qq997220238所写的MAXDOS也流氓一文，我得出以下认识：

wmiprvse.exe应该是在knlrun.sys领导下定时启动监控so.dll是否存在，并是否在浏览器注册的一个程序，如果so.dll文件被删除，或者在IE浏览器里被反注册了，此程序会自动生成并拷贝so.dll文件到system32文件夹并在浏览器里注册。如果由于各种原因用户杀掉了system32文件夹下的这个山寨wmiprvse.exe文件的话（这个文件每次被knlrun.sys定时启动后，只会执行拷贝so.dll文件，并注册到浏览器的任务，任务完成后就会自动关闭），愚蠢的knlrun.sys驱动仍然会不停地运行system32/wbem/文件夹下的正版wmiprvse.exe。由于正版的wmiprvse.exe不会自动关闭，加上本身可以重复运行，于是很多朋友电脑里瞬间会出现几十个wmiprvse进程，直至电脑资源耗尽，无论性质还是结果，都跟病毒很像。卡饭论坛里也有人在病毒救援区向大家求援，见图：

这里我列出几个苦主的抱怨网址，可以看出来wmiprvse.exe的邪恶：

http://hi.baidu.com/bg4uvr/blog/item/d6870f1319870d886438dbfd.html

http://bbs.360.cn/4005462/24951430.html

http://soft.deepin.org/read-htm-tid-944692.html

下面这个就是山寨版的wmiprvse.exe程序的相关信息。

最后，我删掉了山寨wmiprvse，并在浏览器里禁用了so.dll，当然，还需要在注册表里清理一番，问题似乎已经解决了。

但是无论如何，我却高兴不起来。前段时间的暴风影音事件，我没有什么感觉，也不屑于多加评论，因为我觉得这个与我无关。
毕竟很早很早以前就放弃暴风影音了，中国式的商业化，我从来都很怕。

现在轮到另外一个我曾经十分信任的DOS入口软件时，迟钝冷漠若我，也终于尝到了被伤害的感觉。因为安装这个版本的时候AVG曾经报警，并阻止Maxdos的进一步安装。那时我是那么地对这个软件充满信心，宁愿禁用AVG也要完成安装，到头来却换来这么一个结果。

sohu迟早会流氓，这我从他们那丑陋的首页和硕大难看的搜狗logo就可以管窥一二，但是MAXDOS的流氓化确实出乎我的意料。可能对于迈思而言，他们的目标客户是网吧用户，而那些用户是不会对这个小小的trick感到敏感，相反可能还会很高兴吧，因为输错网址居然也可以上网，这个网吧好厉害！

显然我不会是他们的目标客户，我只能说：“真是抱歉，我进错门了。不要意思，打扰你们了。”

再见！

随机文章：
2009-10-27 2009-10-27
Italy, not China 2008-03-10
相见 2008-02-27
龌龊 2008-02-25
冷漠 2008-01-30

收藏到：Del.icio.us

Glyx 发表于10:44:13 | 编辑 | 继续话题 | 转发 | 分享　0

引用地址：