迅雷在不久前被曝產品內置后門,昨日迅雷官方對此消息進行了證實,稱其是員工私人行為。瑞星今日發布迅雷InpEnhSvc.exe后門分析報告InpEnhSvc.exe擁有典型的后門特征,相比于其它后門程序,該病毒側重于后臺應用推廣,包括PC應用和手機Android應用;其次病毒文件帶有正常的數字簽名。
本報告主要分析了該后門的功能點,InpEnhSvc主要有三個大功能點:
后臺惡意推廣手機應用
常規的遠程控制操作
自動更新升級
功能點主要執行流程
病毒運行時,會創建一個隱藏的0大小的窗口,并注冊接收USB、DISK、COMPORT等硬件設備的更改通知,病毒通過接收遠程不同的功能號來執行相應的功能函數。
后臺惡意推廣手機應用
執行時會檢測常見的調試類軟件是否存在,存在的話就不執行后面的流程,檢測的調試類軟件包括procexp.exe、procmon.exe、windbg.exe等。
檢測temp目錄下是否存在配置文件tools.ini,不存在的話就從conf.kklm.n0808.com下載得來,并通過配置文件的信息啟動相應的推廣更新等操作。
檢測temp目錄下是否存在adb等手機應用推廣工具,如不存在則下載。
注冊自身為word插件,隨word啟動而自動加載。
常規的遠程控制操作
該功能主要實現了8個普通的遠程控制功能,根據不同的遠程指令id執行對應的函數,功能簡要描述如下:
功能1:下載安裝PC應用
功能2:下載安裝手機Android應用
功能3:添加到桌面快捷方式
功能4:添加網址到收藏夾
功能5:設置IE瀏覽器主頁
功能6:查詢掃描注冊表操作
功能7:掃描桌面,確定是否存在指定文件
功能8:掃描收藏夾,確定是否存在指定文件
其中的功能函數分派表如下:
自動更新升級
病毒通過一個web地址更新升級adb軟件包。