瑞星發(fā)布迅雷InpEnhSvc.exe后門特征分析報(bào)告

《戴爾》迅雷7皮膚包2011

• 類型：壁紙主題大�。�103KB語言：中文 評(píng)分：6.0
• 標(biāo)簽：

立即下載

迅雷在不久前被曝產(chǎn)品內(nèi)置后門，昨日迅雷官方對(duì)此消息進(jìn)行了證實(shí)，稱其是員工私人行為。瑞星今日發(fā)布迅雷InpEnhSvc.exe后門分析報(bào)告InpEnhSvc.exe擁有典型的后門特征，相比于其它后門程序，該病毒側(cè)重于后臺(tái)應(yīng)用推廣，包括PC應(yīng)用和手機(jī)Android應(yīng)用；其次病毒文件帶有正常的數(shù)字簽名。

本報(bào)告主要分析了該后門的功能點(diǎn)，InpEnhSvc主要有三個(gè)大功能點(diǎn)：

后臺(tái)惡意推廣手機(jī)應(yīng)用

常規(guī)的遠(yuǎn)程控制操作

自動(dòng)更新升級(jí)

功能點(diǎn)主要執(zhí)行流程

病毒運(yùn)行時(shí)，會(huì)創(chuàng)建一個(gè)隱藏的0大小的窗口，并注冊(cè)接收USB、DISK、COMPORT等硬件設(shè)備的更改通知，病毒通過接收遠(yuǎn)程不同的功能號(hào)來執(zhí)行相應(yīng)的功能函數(shù)。

后臺(tái)惡意推廣手機(jī)應(yīng)用

執(zhí)行時(shí)會(huì)檢測(cè)常見的調(diào)試類軟件是否存在，存在的話就不執(zhí)行后面的流程，檢測(cè)的調(diào)試類軟件包括procexp.exe、procmon.exe、windbg.exe等。

檢測(cè)temp目錄下是否存在配置文件tools.ini，不存在的話就從conf.kklm.n0808.com下載得來，并通過配置文件的信息啟動(dòng)相應(yīng)的推廣更新等操作。

檢測(cè)temp目錄下是否存在adb等手機(jī)應(yīng)用推廣工具，如不存在則下載。

注冊(cè)自身為word插件，隨word啟動(dòng)而自動(dòng)加載。

常規(guī)的遠(yuǎn)程控制操作

該功能主要實(shí)現(xiàn)了8個(gè)普通的遠(yuǎn)程控制功能，根據(jù)不同的遠(yuǎn)程指令id執(zhí)行對(duì)應(yīng)的函數(shù)，功能簡(jiǎn)要描述如下：

功能1：下載安裝PC應(yīng)用

功能2：下載安裝手機(jī)Android應(yīng)用

功能3：添加到桌面快捷方式

功能4：添加網(wǎng)址到收藏夾

功能5：設(shè)置IE瀏覽器主頁

功能6：查詢掃描注冊(cè)表操作

功能7：掃描桌面，確定是否存在指定文件

功能8：掃描收藏夾，確定是否存在指定文件

其中的功能函數(shù)分派表如下：

自動(dòng)更新升級(jí)

病毒通過一個(gè)web地址更新升級(jí)adb軟件包。