微软也来耍流氓！关于微软中国必应输入法及MSBBSL耍流氓的详细佐证！

libragilmer

2014年11月29日上午补充：
已经可以肯定位于 MSBBSL 文件夹下的名字叫做 微软必应浏览器安全防护 的插件是捆绑在必应输入法里面的。通过 Restorator 对比官网发布的相同版本号的新旧两个不同的安装包。
可以看到下图：

上下对比，多出来的这个 134.exe 提取出来安装发现就是所谓的 MSBBSL 的安装包，带有微软的数字签名。至于  MSBBSL 的流氓行为，帖子之前有详细的讲述，在此不再多说。
万幸的是，微软中国反应很快，在新发布的版本号不变的必应输入法安装包里面已经见不到这个插件了，安装包也因此比原来小了600多kb。
大家应该可以放心的使用新的安装包了。不过，注意设置主页等地方的勾还是记得去掉哦。
最后，吃一堑长一智，下次必应输入法出新版本的时候，记得自己检查一下哦。
至于有些朋友说的在高版本系统或者高版本ie情况下，安装旧版安装包，不会被安装 MSBBSL 的情况，个人和网友们猜测应该是环境不一样没有触发安装条件吧。不过通过 Restorator 可以清清楚楚看到，捆绑插件就在安装包里面。这个问题谁也否认不了。
2014年11月28日晚上补充：
经过59楼 @qitiannian 同学的提醒。重新去必应官方网站下载了一下必应输入法的安装包。结果发现了一个有趣的现象。重新下载的输入法安装包的版本号未变，但是 md5 变了，数字签名的时间也变了，安装包的大小也变小了！！（大家不要眼花哦，数字签名一个是10月，一个是11月！！，10月28日就是官网更新日志里面本版本的发布日期，真想问问微软中国11月28日是什么意思？）
新的安装包是否还会有我主贴里面的现象，我还没有腾出时间来测试，先上图：



猜测一下是不是和 @2437959 同学已经微博上艾特了必应输入法官方微博的缘故？
恶意猜测一下，回帖里面说没有出现这种状况的同学们，是不是和我用的安装包不同？
为了方便大家验证。我把我昨天下载的必应输入法的安装包（就是我在帖子里面用来测试的安装包）上传到网盘了（和本贴的那个录屏视频放在一块了。大家如果感兴趣可以下载来测试一下，记得看数字签名和md5）。

2014年11月28日中午补充：（原帖内容在后面）
根据回帖，有网友反映在他们的电脑里面没有遇到此问题。当然也有网友遇到了同样的问题，甚至有网友，开始的时候实体机测试没问题，后来用虚拟机断网测试，出现了同样的问题。
真是让人揪心啊，不知道有没有办法或者有没有大神直接分析一下安装包？
具体能否出现这种情况的系统环境我不清楚。
不过我在我的新装的win7 x64带影子系统的环境下，测试了好几次，关掉并卸载影子系统，又试了一次，均有上述情况发生。
在这里补充一下我的系统版本：
win7 sp1 x64 msdn原版系统，ie8。
必应官网下载的目前最新版本的安装包。（也有可能是最新版本才开始作恶的。。待饭友验证。）

另外，附上 分别用TotalUninstall监控和RevoUninstallerPro监控得到的录屏操作视频和导出的记录文件。（revo第一次用，操作不太熟练，视频里有的步骤是在找怎么操作，看视频的时候见谅，机器配置较渣，录的视频可能偶尔有卡顿。）
链接: http://pan.baidu.com/s/1c04awhE 密码: d7tz

ps：
一些网友理解错了，我不是说的并应输入法设置浏览器主页的问题。。。帖子写的很详细，请仔细看。谢谢。
还有，我如果没有遇到问题，我会跑过来花这么多时间测试，写贴等等吗？
我这里没有条件测试win8 win10 xp等，但是在我的win7上确实是这种情况。烦请有条件的同学测试一下不同的环境下是不是有和我一样的问题。谢谢。我不是熟悉技术的人，所以只能用TotalUninstall等监控一下，当然如果有大神能够把必应的安装包分析分析，那就更好了。
也许真的是和系统有关呢？记得某搜狗流氓的时候不就是分地区吗？

下面为原文原帖：
不知道卡饭怎么了，今天死活传不了图片，只能用图床了。回头再把图片上传。


前提说明1：之所以会有这个帖子，是因为，最近几天发现桌面老是自己多出两个快捷方式。如图所示。
图片001

遂发帖求助，结果不甚满意。原帖见http://bbs.kafan.cn/thread-1790665-1-1.html
于是发狠要弄明白到底是怎么回事。
遂产生了下面的各种佐证。
前提说明2：
本帖使用的必应输入法为官方最新1.6.47.02版。下载地址和安装包信息如下。（也许旧版无此情况，新版才开始作恶的）
http://download.get.live.cn/comp ... Setup_1.6.47.02.exe
图片002

下面正文开始：（为方便大家阅读，以时间顺序记录）

1、使用 TotalUninstall 监控 必应输入法安装包 BingPinyinSetup_1.6.47.02.exe 的安装过程。
（说明：必应输入法安装过程中，有勾选的选项问你是否设置微软导航主页等，本人肯定是勾掉的。）
经过监控发现，即使用户把勾都去掉，除了输入法以外，还会在 C:\Program Files (x86)\MSBBSL 安装一个叫做 MSBBSL 的东西，并把这个东西以及这个东西的更新加入到 开机启动项、计划任务、以及服务中去。
截图如下：
图片003

建立的计划任务：
图片004

建立的开机启动项：
图片005

必应输入法的服务：
图片006


2、 MSBBSL 文件夹下的各种文件，都有微软的数字签名。搜索引擎搜索没有弄明白这个 MSBBSL 是什么东西。
经过各种寻找，最后通过注册表，弄明白了，这个东西的 中文名字 原来叫 “微软必应浏览器安全防护”
具体注册表信息在 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\3F02ECDB3A78D9446BC93E8D3B17AD9B 下。
看名字就有点明白了。

3、 MSBBSL 随必应输入法被安装时的版本为 0.0.18.10 。当它的版本自动更新到 0.0.19.26 后，作恶开始。（它是怎么更新的不是很清楚，试了几次，有时候很快就更新了，有时候要用电脑一段时间，不知不觉它就更新了。）
图片012

4、作恶过程。（并不是说作恶的是必应输入法，真正作恶的是 msbbsl ，但是 msbbsl这个文件夹却是在 必应输入法安装的时候释放的。）
在 c:\windows\temp\msbbsl 文件夹下释放一个名字很长的exe 文件。（注意看这个exe文件的数字签名、路径、以及属性里面的产品名称什么的。）
图片007

图片008

图片009

图片010

这个恶心的exe文件仍然具有微软的数字签名，这个exe会在你不知不觉中在桌面建立本帖开头说的那两个快捷方式。
这个行为根本不会被杀软拦截，下面的截图是我特意让某杀软监控桌面快捷方式后得到的，即使这样，杀软的建议的操作也是放行。。。估计也是是因为有数字签名吧
（为免广告，杀软名称打马赛克）
图片011

作恶完成，我们的桌面就多了如图所示的两个快捷方式。。。
图片013  图片014

5、额外的一个行为。
新系统，第一次安装完成必应输入法后，打开ie8浏览器（因为win7自带的，我没升级），会自己打开一个类似网页的页面，问你是否设置微软必应为主页（一眼就知道是微软必应问的）。取消掉之后，就没事了。
当时忘记截图了，后来，再次卸载微软必应以及重新安装微软必应，这个打开ie8浏览器后的设主页的提示都不再重现了。所以就没有图片了。但是，本人绝对遇到这个行为了。

最后，请版主取消掉 安静软件推荐 列表里面的 必应输入法。。。
因为，安装过程中，无论用户勾不勾掉设置主页的勾，msbbsl都会被安装，都会耍流氓。
再次强调一下，本帖使用的必应输入法为官方最新1.6.47.02版。下载地址和安装包信息如下。（也许旧版无此情况，新版才开始作恶的）
请各位饭友验证。谢谢。

附上饭友在网上找到的截图：


有网友反映在win10里面没有遇到此问题。
具体我不清楚，因为我这边没有win10的机器。
不过我在我的新装的win7带影子系统的环境下，测试了好几次，关掉影子系统，又试了一次，均有上述情况发生。
在这里补充一下我的系统版本：
win7 sp1 x64 msdn原版系统，ie8。
必应官网下载的目前最新版本的安装包。（也有可能是最新版本才开始作恶的。。待饭友验证。）
  File: BingPinyinSetup_1.6.47.02.exe
CRC-32: 82506467
   MD4: d7dceabbaef368d0d08f718572abe6f3
   MD5: 5936ea9c32760c1533c21d0e8bd835b3
SHA-1: 5b072a286ef64d2191d89ceb15f0c3805aaa319d

gsgaosheng

环境Win7sp1 32bit+IE8，在SB 4.15.5下反复测试。

签名2014年10月28日的安装包，安装进度大概在80%和93%之间就安装了这个“微软必应浏览器安全防护”。在勾那3个选项前就静默安装了。估计仅IE8才被安装。（亏我用微软的IE_BlockerToolkit分别屏蔽了IE9-IE11的windows update推送）



附“微软必应浏览器安全防护”衍生安装包，包内两个文件皆有微软2014年10月28日数字签名，这俩一旦必应输入法安装结束，就被从TEMP“清洁”。（那个EXE是自解压cab，生成msi安装。）

附Malwr文件分析（在XP下也查不出所以然……）
https://malwr.com/analysis/NTE3Y ... TFhYzMzMDA2ZTViYWU/
https://malwr.com/analysis/NDQwM ... jI1N2Q2ODY1OGU0OGY/

@libragilmer

zxqwe

从楼主给的包是10月份的，其实这个浏览器保护很早的版本就有了。。这几个月可能更新过几次浏览器保护这东西。。这东西我弄出来了，就是楼主所说的“MSBBSL”，我什么也不想说了。。这东西还没搜狗的流氓。。








MSBBSL：

绯色鎏金

建议呼叫管理员，要不然管理员应该是看不到的

@屁颠屁颠  

nelajsy

王永民有话说：叫你丫的不好好学五笔，倒霉了吧

屁颠屁颠

@libragilmer
你的帖子已被推荐到论坛首页，感谢你的分享，望再接再厉，分享更多有价值的内容！

将会联系编辑团队取消必应输入法推荐，感谢分享@a330391

hnliuzesen

刚刚试了一下，可能是系统差异？我的c盘就没有这个文件夹，也没有出现这个东西……用的是win10

小七龙瑜

Windows 10下使用必应输入法的最新版均未发现楼主所说的除更新服务的内容

libragilmer

hnliuzesen 发表于 2014-11-28 09:55
刚刚试了一下，可能是系统差异？我的c盘就没有这个文件夹，也没有出现这个东西……用的是win10

是否有系统差异，我不是很清楚。
所以我才在主贴最后说到：请各位饭友一块儿验证。
反正我是在我电脑上试了不少次，都这样。。。

在这里补充一下我的系统环境。
win7 sp1 x64 msdn原版系统。
必应官网下载的目前最新版本的安装包。
  File: BingPinyinSetup_1.6.47.02.exe
CRC-32: 82506467
   MD4: d7dceabbaef368d0d08f718572abe6f3
   MD5: 5936ea9c32760c1533c21d0e8bd835b3
SHA-1: 5b072a286ef64d2191d89ceb15f0c3805aaa319d

hnliuzesen

libragilmer 发表于 2014-11-28 10:01
是否有系统差异，我不是很清楚。
所以我才在主贴最后说到：请各位饭友一块儿验证。
反正我是在我电脑上 ...

咱俩版本一样，都是1647.02，今天卡饭不Fan{过}{滤}Qiang都进不了论坛……

chatterkf

啥行业都有潜规则啊。
一直用QQ输入法传统版。目前还好。

libragilmer

绯色鎏金 发表于 2014-11-28 09:40
建议呼叫管理员，要不然管理员应该是看不到的

@屁颠屁颠

哦。谢谢帮忙呼叫。。。
大家都好早啊，大早上的就在卡饭。