搜狗浏览器 2.2.0.1401 DLL 注入漏洞

zs353

	转自：http://blog.titilima.com/show-591-1.html 搜狗浏览器 2.2.0.1401 论坛预览版存在一个安全漏洞，攻击程序可以利用此漏洞使自己的 DLL 进入大部分进程之中。 搜狗浏览器 2.2.0.1401 引入了网速保护功能，其中一部分功能是通过一个名为 sogounetopt.sys 的内核驱动程序将搜狗浏览器的 sogouipfilter.dll 注入搜狗浏览器自定义的白名单进程中。其默认的白名单进程为： ThunderService.exe    thunder5.exe    qqdownload.exe    bitcomet.exe    utorrent.exe    btdownloadgui.exe    bitspirit.exe    emule.exe    edonkey2000.exe    vagaa.exe    pplive.exe    ppstream.exe    qvodterminal.exe    sogounetopt.sys 挂钩了 KeServiceDescriptorTable 之中的 NtMapViewOfSection，在挂钩函数中完成 sogouipfilter.dll 的注入。 下面实验开始，我将 sogouipfilter.dll 复制出来一份，将其内容修改，以标志为恶意 DLL。 http://bbs.kafan.cn/data/attachment/forum/201008/31/092123ptvcst6ccixxrwbp.png 接下来，执行如下代码： MoveFileEx(     _T("C:\\virus.dll"), // Anything u want     _T("C:\\SogouExplorer\\sogouipfilter.dll"),     MOVEFILE_DELAY_UNTIL_REBOOT | MOVEFILE_REPLACE_EXISTING ); 复制代码 代码执行完毕后，重启系统并启动迅雷，发现 sogouipfilter.dll 依然被加载。 http://bbs.kafan.cn/data/attachment/forum/201008/31/092226tkgs4gttv4pzdrwt.png 用记事本打开 sogouipfilter.dll，实验成功。 http://bbs.kafan.cn/data/attachment/forum/201008/31/0923024gmx1mtt51dbdpa9.png

zs353

	刚刚在卡饭看见的，不是很懂希望高人解释解释···  虽然我不用网速保护吧···

pingcz

	我已经把这个sys文件删掉了，这个功能对我来说没用

织梦行云

	貌似很严重哈。。。。可以注入恶意DLL。。。。希望搜狗赶快修复哈。。。。

zs353

	我的网速保护根本打不开···

老李

	等MS发补丁吧，不止一个软件有这个漏洞！

sycxy

	有点恐怖，官方尽快修复

Bumble Bee

	1.sogouipfilter.dll默认位于program files目录下，需要提权之后才能访问 2.搜狗注入的其他进程也默认不是高权限启动

回收站

	这个问题...就好像自己把自家的门锁换成邻居家的，然后大喊邻居是小偷，可以打开自家的门..... 这人就是哗众取宠，大家别中了他们的圈套。

Deadwalk

	有毛病.... 自己把DLL改了还说是注入，那我改了遨游的DLL也是注入了？