病毒伪装搜狗输入法，正规签名内嵌恶意脚本

近期，火绒工程师在关注安全动态过程中发现，存在一种后门病毒以伪装成搜狗输入法的形式进行传播。此病毒采用正规签名内嵌恶意脚本的手段，以规避安全检测。其释放的其他 PE 文件均为带有数字签名的白文件，并借助执行 PowerShell 和 VBScript 脚本的方式来释放和运行后门。其中，远控服务器的域名通过查询 TXT 记录动态获取，最终等待远控服务器下达屏幕监控、键盘监控、执行 PowerShell 脚本等指令。

输入法这么多问题，吓到了，还让人安心不，不用又不知道用什么输入法？

要不？360做个安全输入法，可以用ai写

https://huorong.cn/document/tech/vir_report/1844

感谢您的反馈，我们同步给产品去评估

其实这事儿，不是后门病毒伪装成搜狗输入法。
确实是搜狗自己干的，他在输入法中植入这种木马模块很长时间了，只不过最近才激活“小范围测试”。
如果检测到电脑安装了360或者火绒，则该模块静默蛰伏。
目前搜狗已经承认此事，最新版本似乎有所收敛…