“输入法”或许是计算机软件领域最伟大的发明之一了，也是我们日常的计算机使用中最常用到的软件，一款好的输入法能让我们事半功倍。随着计算机的软硬件不断发展，输入法的功能也不再局限于协助用户完成“输入”的工作，各家输入法为了拉拢用户，绞尽脑汁的为输入法添加了各种各样的小功能，往往能让人眼前一亮。

但试想，如果输入法的附加功能是弹广告呢？近日，360安全中心接到用户的反馈，说自己的浏览器首页被改了，还莫名其妙的弹出好多广告来。经过我们的一番排查，最终捕获到了这样的一款弹广告的输入法……

来自色站的你

正所谓“英雄难过美人关”，这仿佛是一个永恒的定律，各种亦真亦假色情网站始终是病毒、木马、流氓推广程序的集中“发货地”。而这次也不例外。唯一不同的是提示你需要安装“男人播放器”的不再是以往的alert弹窗，而改成了一个图片。这样做一来更贴近系统弹窗，有更好的迷惑性；二来是即便你点了取消依然会开始下载（限于尺度问题，我不得不把那些令人血脉舒张的图片盖住，大家可自行脑补）：

一个页面中弹窗图片，就像这样：

好吧，因为误认为是系统弹窗而用鼠标点击了上面图片的请自觉面壁5秒，谢谢配合。而在真实的恶意网站上，如果点击了这个图片，会触发onclick属性指向的go()函数：

<SCRIPT type=text/javascript>
function go() {
    window.location=&#039;http://********/****/ksimeksid_9500_201626.exe&#039;;
}
</SCRIPT>

页面直接被定为到了程序的下载页面上，剩下的工作就交给你的浏览器吧……另外再提一句，不要对这种网站弹窗意外的那些图片和链接抱有任何不切实际的幻想——他们同样都是指向上面这个go()函数的……

悄悄的进村，打枪的不要

下载回来的程序，是一个自称“快手输入法” 的安装包，并且带有数字签名：

程序启动的时候会查看自身文件名

旦发现自身的文件名是一个推广格式，就直接跳过ShowWindow，全程静默安装。

Be Evil

静默安装本来就已经有些不妥了，更为恶劣的是在装完之后……

其实，浏览器的首页并没有被篡改——因为一旦有人动浏览器首页，360是一定会弹窗报警的。于是软件作者便退而求其次——再桌面上创建了一个快捷方式

看图标确实是IE浏览器，但也只有图标是IE浏览器……其实这个快捷方式是指向快手输入法主程序的

而以link为参数启动时，快手输入法的主程序便会打开一个特定的URL——这样用户所感觉到的，就是浏览器打开的时候，首页被篡改了：

与此同时，主程序还会释放出两个子程序，分别用于弹出右下角广告和热点资讯：

结语

输入法本应是提高我们日常工作效率的工具，但却成了某些人获取获取利益的手段。一款看似正规的输入法，却为了自己的获利而不惜干扰用户——我想这种获利也是目光短浅的眼前利益而已。

[本文作者/360安全卫士（企业帐号），在不影响文章整体质量的情况下可能包含少量商业信息，转载请注明来自FreeBuf.COM]