您当前的位置:硅谷科技网资讯正文

迅雷后门 InpEnhSvc.exe后门分析报告

时间:2018-02-02 23:38:00  阅读:2387+ 来源:本站原创作者:陈宝莲

迅雷官方信息透露,7月27日,迅雷公司接到一位网民的反馈:发现一个位于C:WindowsSystem32目录下,名为“INPEnhSvc.exe”,带有迅雷数字签名的文件有问题,公司技术人员迅速从用户机器上将此文件取回,经逆向分析,发现该文件有流氓行为:其在满足某些条件时,会在用户不知情的情况下,该程序会后台下载并自动安装APK到连接至当前计算机的手机上,这些APK为“九游棋牌大厅”、“91手机助手”、“360手机助手”、“UU网络电话”、“机锋应用市场”带来流量。

  对此,瑞星发布了InpEnhSvc.exe后门分析报告,报告内容如下:

  InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用,其病毒文件带有正常的数字签名:

  本报告主要分析了该后门的功能点,InpEnhSvc主要有三个大功能点:

  1. 后台恶意推广手机应用

  2. 常规的远程控制操作

  3. 自动更新升级

  功能点主要执行流程

  病毒运行时,会创建一个隐藏的0大小的窗口,并注册接收USB、DISK、COMPORT等硬件设备的更改通知,病毒通过接收远程不同的功能号来执行相应的功能函数。

  后台恶意推广手机应用

  执行时会检测常见的调试类软件是否存在,存在的话就不执行后面的流程,检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。

  检测temp目录下是否存在配置文件tools.ini,不存在的话就从conf.kklm.n0808.com下载得来,并通过配置文件的信息启动相应的推广更新等操作。

“如果发现本网站发布的资讯影响到您的版权,可以联系本站!同时欢迎来本站投稿!