瑞星发布迅雷InpEnhSvc.exe后门特征分析报告
2013-08-22 15:25:47文章来源:点点软件园热度:0
迅雷在不久前被曝产品内置后门,昨日迅雷官方对此消息进行了证实,称其是员工私人行为。瑞星今日发布迅雷InpEnhSvc.exe后门分析报告InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用;其次病毒文件带有正常的数字签名。更多最新IT资讯尽在金顺软件园http://www.jinshun168.com/
本报告主要分析了该后门的功能点,InpEnhSvc主要有三个大功能点:
后台恶意推广手机应用
常规的远程控制操作
自动更新升级
功能点主要执行流程
病毒运行时,会创建一个隐藏的0大小的窗口,并注册接收USB、DISK、COMPORT等硬件设备的更改通知,病毒通过接收远程不同的功能号来执行相应的功能函数。
后台恶意推广手机应用
执行时会检测常见的调试类软件是否存在,存在的话就不执行后面的流程,检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。
检测temp目录下是否存在配置文件tools.ini,不存在的话就从conf.kklm.n0808.com下载得来,并通过配置文件的信息启动相应的推广更新等操作。
检测temp目录下是否存在adb等手机应用推广工具,如不存在则下载。
注册自身为word插件,随word启动而自动加载。
常规的远程控制操作
该功能主要实现了8个普通的远程控制功能,根据不同的远程指令id执行对应的函数,功能简要描述如下:
功能1:下载安装PC应用
功能2:下载安装手机Android应用
功能3:添加到桌面快捷方式
功能4:添加网址到收藏夹
以上,就是金顺软件园小编给大家带来的瑞星发布迅雷InpEnhSvc.exe后门特征分析报告全部内容,希望对大家有所帮助!