搜索
查看: 39715|回复: 162
收起左侧

[可疑文件] 迅雷签名可疑文件,请大家关注,内部邮件大爆料。过全部杀毒软件。

  [复制链接]
zihan911521
发表于 2013-8-2 12:19:01 | 显示全部楼层 |阅读模式
金山火眼认证安全。
http://fireeye.ijinshan.com/anal ... 1a8dcb944caeadc8d8f


过所有杀毒软件
https://www.virustotal.com/zh-cn ... nalysis/1375416608/



编者注:以下内容为迅雷内部针对此事的内部邮件)邮件一




这封邮件是工作人员在收到迅雷看看的用户反馈,分析后发送邮件抄送迅雷各大高管以及迅雷看看高管,认为此事件是给用户安插病毒,给个别人谋取私利
昨天接到用户反馈,发现一个位于C:\Windows\System32目录下,名为“INPEnhSvc.exe”带有迅雷数字签名的文件。(见附件INPEnhSvc.ex)
我们从用户机器上将此文件取回,经技术人员逆向分析,发现该文件有病毒行为。
“INPEnhSvc.exe”是一个服务,加/regserver参数可注册启动。
启动后有3次服务器连接,访问2个域名分别为:
http://conf.kklm.n0808.com(下发配置文件)
http://kkyouxi.stat.kankan.com
从n0808.com中拉取2个配置文件。(见附件1 2 3.txt)
1.txt配置了程序行为,检测到“taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|
filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe”等分析工具会自动退出,防止被发现。
2.txt配置了如下apk,满足某些条件,该程序会后台下载安装adb(安卓手机驱动),并将如下APK自动安装到连接至当前计算机的手机上。
http://down4.game.uc.cn/wm/4/4/J ... roid_Build20130624_
48004_1538390bd246.apk(九游棋牌大厅)
http://dl.sj.91.com/business/91s ... ndphone_lite134.apk(91手机助手)
http://shouji.360tpcdn.com/360sj ... /com.qihoo.appstore
_199801_143149.apk(360手机助手)
http://wap.uuwldh.com/down/1263/uuwldh_1263.apk(UU网络电话)
http://down.gfan.com/gfan/produc ... anMobile_web414.apk
(机锋应用市场)
程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为,都由2.txt这个配置文件配置。
外界已经有人注意到该文件,我们昨天已经排除文件通过迅雷7客户端部署的可能性,但由于带有迅雷数字签名,会导致用户迁怒于迅雷7,将迅雷7卸载。



邮件二

这封邮件是迅雷开发部门一位高管非常愤怒,将此邮件上升了高度,并认为有人在利用职务之便进行商业犯罪,要求彻查此事

发现带有迅雷数字签名的未知文件,经分析有病毒行为我和我的小伙伴们都惊呆了!!代表迅雷的一名开发人员表示震惊和愤怒!!!!
从该exe的特征和行为来看,属于典型的后门软件和病毒,并且使用类似云指令的技术来强制后台推送用户不需要的东西,来达到不可告人的目的,堂堂迅雷竟然能出现如此无耻下流的软件,若被杀毒软件拦截列入黑名单,后果不堪设想,迅雷长期积累的信誉将毁于一旦!迅雷公司的数字签名也可能陷入万劫不复的境地,祸及公司广大的产品包括迅雷7、xmp以及BOLT引擎等等众多产品和模块,不能不让人震惊!

该软件带有迅雷数字签名,只有两种情况,一种是泄露数字签名导致,一种是内部员工和团伙所为。从规模来看,涉及到客户端开发(并且具有一定的反逆向保护)、外网服务器,云指令推送,服务器管理后台等技术,并且使用了kankan.com的域名,推送apk肯定还涉及商业利益链包括揽活、销赃等,所以可以确定内部团伙作案的可能性非常大,凭一己之力很难做到这么大规模,并且外网高手即使有数字签名,也不大可同时控制kankan.com下的域名。

客户端样本我也拿到一份,不得不说可笑,只凭此鸡鸣狗盗的雕虫小技就想鱼目混珠,瞒天过海?置迅雷的广大开发人员于何处?后台自动下载apk强制安装,众所周知当前手机应用推广的利润率惊人,单次安装激活就有1元到数元,所以这个软件究竟在发现之时已经散步到多大市场?后面的灰色利益链又是如何?幕后黑手又是谁?

从google搜索结果来看,外网已经有众多用户反馈和抱怨,从反馈用户的ip来看,多是出于二三线小城市,真是用心良苦!!!如果是内部员工所为,那么作为迅雷的开发人员,以权谋私,利用公司的渠道尤其是下载部的迅雷7来满足私欲,为所欲为,不计后果,缺乏最基本的职业素质,令人不齿!

恳请公司彻查此事,给所有开发人员一个交代:

1.请专业杀毒软件公司比如金山来分析病毒样本,出具病毒分析报告

2.从kkyouxi.stat.kankan.com域名出发,顺藤摸瓜找出作案人

3.发掘该病毒的利益链条,找出幕后黑手

4.严格控制数字签名,采用更安全的机制来控制签名流程,保证所有被签名文件可回溯,杜绝可能的数字签名泄露




邮件三

这封邮件是迅雷看看先是找了某中层出来顶罪,并找各种理由来搪塞

首先先给大家道歉一下,此次事故是近期我们推出的OFFICE插件的产品BUG所导致的问题,INPEnhSvc.exe是Office插件系统的守护程序,负责拉取配置与上报统计;INPEnhUD.exe是自升级程序,负责拉取升级配置升级Office插件系统。但旧版本的升级程序有Bug,导致守护程序不存在时拉起会弹框报错,守护程序自身也有内存泄漏的问题,所以在25号发了一个自升级版本修复这两个问题,降低对用户的影响,目前产品还在持续完善中。
至于推送九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场的事情,是之前经过F总审批用于置换对应平台广告位置,来推广无线看看APK之用。2013年我们设定的无线看看的日新增目标数量达到15万每天,根据之前邮件中的价格1元到数元来看的话,那么一天就是15万元RMB起,一个月就是450万,一年就是5400万RMB。而公司给到的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面,如果不通过换量很难完成任务目标。同时,迅雷所有无线产品的量都非常小,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。

其中九游棋牌大厅为UC浏览器的产品,其他的就不用介绍了,通过帮他们推广手机端应用,他们来帮我们推广无线看看,达到换量的目的。从实际效果来看,我们帮他们带量的情况很不乐观,部分平台仅为他们帮我们带量的十分之一。下面是他们帮我们推广产品的截图,带量情况及推广的排期表(实际执行远大于这些排期),请大家查看!

最后,由于功能BUG给用户带来的问题,我们25号的升级版本已经解决,目前正在升级中,在此我们也深表歉意。但是仍然由衷希望大家在没调查好事实真相前,不要随意猜测,这样不仅影响内部团结,而且不利于解决已经发生和未来有可能会出现的问题,谢谢!


邮件四

这封邮件是迅雷客户端一位高管对迅雷看看中层顶罪表示愤怒,并将该事危害程度拔高

作为迅雷客户端的维护人员,无论是谁出于何种初衷通过何种手段部署了这个程序,从结果上来看,迅雷客户端的声誉已经首当其冲的受到了严重损害,已经成为用户怒而卸载迅雷的原因,已是我的职责所在,很关心这个事情的进展。
现在已经澄清了是业务团队为了更好的实现置换推广为之,并非严重的安全问题。本来可以藏的很好,不被用户,甚至自家的开发人员感知,只是因为出了内存泄漏的bug才被大家关注起来,把bug解了这事就解决了?能否定这是一种病毒行为?藏的再好,也怕用户找;杀毒软件现在没报,以后就不会报?现在反馈的少,以互联网的传播速度也许哪天就大爆炸。

及早被发现难道不是好事?迅雷平台有很多更加正常,更加优雅,更加对用户友好的的推广渠道,为何不考虑? 看一下这个程序的行为:带着迅雷的数字签名,以迅雷的名声作保,做的是静默下载并且安装App到用户手机,更改用户收藏夹之类的事情,加上一些反调试保护,无法停用无法删除。

这是严重伤害用户体验的活脱脱的病毒行为,不知情的开发人员看到这种程序的第一想法一定是“这是个病毒呀,迅雷不应该干这个,太伤名声了”,“谁为了啥干的”之类的猜测是非常正常的,为公司利益着想讨论问题细节并且希望彻查以儆效尤为先而作言,而不是为了所谓团结而沉默。

置换推广的策略是非常正确的,我想这也是领导审批通过的原因吧。但是执行手段是这样的病毒行为,和公司推行用户体验至上的原则是背道而驰的。

迅雷一丝一毫的用户体验改进都是各位同学殚精竭虑通宵达旦的辛苦付出得来的,迅雷一点一滴的用户口碑积累都是经年累月长期沉淀出来的,为了节省金钱和时间成本,采用这样的手段,对用户体验和迅雷口碑的伤害难道不是让公司付出了更大的成本?不是审毫毛小计而遗天下大数?岂非饮鸩止渴杀鸡取卵,涸泽而渔焚林而猎?

如果这样的行为被认可,必然有人趋之如骛,置公司的整体利益于何地,其他同学的劳动于何地?想到这个令人不寒而栗。

由衷希望以病毒形式来推广的做法立即停止,而不是改了bug继续来。 位微言轻,不吐不快。




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
handsomechen
发表于 2013-8-2 12:21:30 | 显示全部楼层
猎豹浏览器、Q管安全!
wqcaokeyinwq
发表于 2013-8-2 12:45:11 | 显示全部楼层
金山卫士表示安全。。


双击。。。程序秒退
tg123321
发表于 2013-8-2 13:05:23 | 显示全部楼层
这并非病毒而只是流氓推广,杀软不报很正常
275751198
发表于 2013-8-2 13:23:12 | 显示全部楼层
感谢楼主分享,转发360论坛http://bbs.360safe.com/thread-2206903-1-1.html
3801187
发表于 2013-8-2 13:44:55 | 显示全部楼层
2013-8-2 13:43:39        c:\windows\explorer.exe        创建新进程        c:\documents and settings\administrator\桌面\inpenhud.exe        允许        [应用程序]c:\windows\explorer.exe        命令行: "C:\Documents and Settings\Administrator\桌面\INPEnhUD.exe"
2013-8-2 13:43:39        c:\documents and settings\administrator\桌面\inpenhud.exe        从其他进程复制句柄        c:\program files\bitdefender\bitdefender\vsserv.exe        阻止        [应用程序]*        句柄: (Token) 0x80000894
AVC秒杀

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
/tiao眼镜鱼
发表于 2013-8-2 14:47:07 | 显示全部楼层
IE 10 拦截……
newcenturysun
发表于 2013-8-2 15:51:08 | 显示全部楼层
上回好像有人说过这事 发现了这个东西 不像好东西
llcy
发表于 2013-8-2 15:57:36 | 显示全部楼层
[压缩包病毒]
描述:病毒隐藏在压缩包中,随压缩包解压后诱导用户运行达到作恶目的。
文件位置:C:\Documents and Settings\Administrator\桌面\文件夹\INPEnhUD.rar INPEnhUD.exe

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
vm001
发表于 2013-8-2 15:58:42 | 显示全部楼层
llcy 发表于 2013-8-2 15:57
[压缩包病毒]
描述:病毒隐藏在压缩包中,随压缩包解压后诱导用户运行达到作恶目的。
文件位置:C:\Docu ...

解压后扫描看下,估计是红伞引擎杀的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-9-22 23:06 , Processed in 0.126196 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表