瑞星发布迅雷InpEnhSvc.exe后门特征分析报告

迅雷在不久前被曝产品内置后门,昨日迅雷官方对此消息进行了证实,称其是员工私人行为。瑞星今日发布迅雷InpEnhSvc.exe后门分析报告InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用;其次病毒文件带有正常的数字签名。

本报告主要分析了该后门的功能点,InpEnhSvc主要有三个大功能点

后台恶意推广手机应用

常规的远程控制操作

自动更新升级

功能点主要执行流程

病毒运行时,会创建一个隐藏的0大小的窗口,并注册接收USB、DISK、COMPORT等硬件设备的更改通知,病毒通过接收远程不同的功能号来执行相应的功能函数。

后台恶意推广手机应用

执行时会检测常见的调试类hvbet688是否存在,存在的话就不执行后面的流程,检测的调试类hvbet688包括procexp.exe、procmon.exe、windbg.exe等。

检测temp目录下是否存在配置文件tools.ini,不存在的话就从conf.kklm.n0808.com下载得来,并通过配置文件的信息启动相应的推广更新等操作。

检测temp目录下是否存在adb等手机应用推广工具,如不存在则下载。

注册自身为word插件,随word启动而自动加载。

常规的远程控制操作

该功能主要实现了8个普通的远程控制功能,根据不同的远程指令id执行对应的函数,功能简要描述如下:

功能1:下载安装PC应用

功能2:下载安装手机Android应用

功能3:添加到桌面快捷方式

功能4:添加网址到收藏夹

功能5:设置ie浏览器主页

功能6:查询扫描注册表操作

功能7:扫描桌面,确定是否存在指定文件

功能8:扫描收藏夹,确定是否存在指定文件

其中的功能函数分派表如下:

自动更新升级

病毒通过一个web地址更新升级adbhvbet688包。

网友评论
最新图文
  • windows server 2016 激活秘钥大全

    windows server 2016 正式版安装完成后提示需要输入秘钥激活,小编在这分享windows server 2016正式版Standard 密钥与Datacenter 密钥,密钥都是可以多次使用的哦。

  • 瑞星发布迅雷InpEnhSvc.exe后门特征分析报告

    迅雷在不久前被曝产品内置后门,昨日迅雷官方对此消息进行了证实,称其是员工私人行为。瑞星今日发布迅雷InpEnhSvc.exe后门分析报告InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用;其次病毒文件带,西西hvbet688园-最安全的下载资讯站。

  • W7任务栏打不开窗口怎么办?

    电脑任务栏不显示打开的窗口,打开过很多任务。但是任务栏就是不显示打开的项目,但是用TAB+ALT 或者任务管理器可以看到进程,这到底是为什么呢?本文就来给大家讲解一下。任务栏不显示任务是什么原因?出现这种情况一般是由于一:桌面程序explorer.ex,西西hvbet688园-最安全的下载资讯站。

  • DNF游戏成盗号木马重灾区、DNF外挂是盗号木马的主要载体

    7月16日,360互联网安全中心发布《2013年第二季度中国个人电脑上网安全报告》。报告指出,目前超过90%的盗号木马以游戏帐号为目标,DNF等热门大型网游是木马重灾区,游戏外挂则是盗号木马的主要载体。随着暑期到来,游戏玩家活跃度提升,盗号木马的数量很可能将进一,西西hvbet688园-最安全的下载资讯站。

  • 安卓漏洞补丁CM 10.1.1正式版、拯救99%安卓用户

    CyanogenMod 10.1的稳定正式版才发布刚刚半个月,10.1.1稳定版又来了!新版主要针对安卓近期暴露的安全问题做了改进,针对多个漏洞打了补丁。因此,10.1.1版本完全是一个安全性的更新,以及一些bug的修正,不涉及任何新的功能特性。其中最关键的漏洞补丁包括:,西西hvbet688园-最安全的下载资讯站。