来源于：c6dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4G2k6Y4c8Q4x3X3g2&6k6i4y4C8P5g2)9J5k6h3y4G2L8g2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3y4o6f1$3i4K6u0r3x3K6f1K6x3e0p5@1y4e0k6Q4x3X3g2K6K9s2c8E0L8l9`.`.

瑞星：InpEnhSvc.exe后门分析报告2013-08-22 12:19　来源：Yesky软件频道　作者：软件频道新闻　责任编辑：王玉平·yesky　评论(0)　　【天极网网络安全频道8月22日消息】迅雷官方信息透露，7月27日，迅雷公司接到一位网民的反馈：发现一个位于C:\Windows\System32目录下，名为“INPEnhSvc.exe”，带有迅雷数字签名的文件有问题，公司技术人员迅速从用户机器上将此文件取回，经逆向分析，发现该文件有流氓行为：其在满足某些条件时，会在用户不知情的情况下，该程序会后台下载并自动安装APK到连接至当前计算机的手机上，这些APK为“九游棋牌大厅”、“91手机助手”、“360手机助手”、“UU网络电话”、“机锋应用市场”带来流量。

　　对此，瑞星发布了InpEnhSvc.exe后门分析报告，报告内容如下：

　　InpEnhSvc.exe拥有典型的后门特征，相比于其它后门程序，该病毒侧重于后台应用推广，包括PC应用和手机Android应用，其病毒文件带有正常的数字签名：

　　本报告主要分析了该后门的功能点，InpEnhSvc主要有三个大功能点：

　　1. 后台恶意推广手机应用

　　2. 常规的远程控制操作

　　3. 自动更新升级

　　功能点主要执行流程

　　病毒运行时，会创建一个隐藏的0大小的窗口，并注册接收USB、DISK、COMPORT等硬件设备的更改通知，病毒通过接收远程不同的功能号来执行相应的功能函数。

　　后台恶意推广手机应用

　　执行时会检测常见的调试类软件是否存在，存在的话就不执行后面的流程，检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。

　　检测temp目录下是否存在配置文件tools.ini，不存在的话就从conf.kklm.n0808.com下载得来，并通过配置文件的信息启动相应的推广更新等操作。

　　检测temp目录下是否存在adb等手机应用推广工具，如不存在则下载。

　　注册自身为word插件，随word启动而自动加载。

　　常规的远程控制操作

　　该功能主要实现了8个普通的远程控制功能，根据不同的远程指令id执行对应的函数，功能简要描述如下：

　　l 功能1：下载安装PC应用

　　l 功能2：下载安装手机Android应用

　　l 功能3：添加到桌面快捷方式

　　l 功能4：添加网址到收藏夹

　　l 功能5：设置IE浏览器主页

　　l 功能6：查询扫描注册表操作

　　l 功能7：扫描桌面，确定是否存在指定文件

　　l 功能8：扫描收藏夹，确定是否存在指定文件

　　其中的功能函数分派表如下：

　　自动更新升级

　　病毒通过489K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4G2L8X3k6Q4x3X3g2C8K9$3I4E0i4K6u0W2L8U0l9^5x3o6S2Q4x3X3g2U0L8$3#2Q4x3V1k6S2k6r3u0Q4x3X3g2*7K9i4m8Q4c8e0k6Q4z5f1u0Q4b7U0c8Q4c8e0k6Q4z5e0k6Q4b7U0m8Q4c8e0g2Q4z5p5c8Q4z5o6N6Q4c8e0N6Q4b7V1q4Q4b7e0N6S2k6r3u0Q4c8e0S2Q4b7V1c8Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7U0k6Q4c8e0g2Q4z5p5y4Q4z5o6g2Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课