查看: 1715|回复: 5
收起左侧

[瑞星] 瑞星发布迅雷InpEnhSvc.exe后门分析报告

[复制链接]
很有粪量的人
发表于 2013-8-22 10:42:04 | 显示全部楼层 |阅读模式
InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用,其病毒文件带有正常的数字签名:
本报告主要分析了该后门的功能点,InpEnhSvc主要有三个大功能点:
后台恶意推广手机应用
常规的远程控制操作
自动更新升级
功能点主要执行流程
病毒运行时,会创建一个隐藏的0大小的窗口,并注册接收USB、DISK、COMPORT等硬件设备的更改通知,病毒通过接收远程不同的功能号来执行相应的功能函数。
后台恶意推广手机应用
执行时会检测常见的调试类软件是否存在,存在的话就不执行后面的流程,检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。
检测temp目录下是否存在配置文件tools.ini,不存在的话就从conf.kklm.n0808.com下载得来,并通过配置文件的信息启动相应的推广更新等操作。
检测temp目录下是否存在adb等手机应用推广工具,如不存在则下载。
注册自身为word插件,随word启动而自动加载。
常规的远程控制操作
该功能主要实现了8个普通的远程控制功能,根据不同的远程指令id执行对应的函数,功能简要描述如下:
功能1:下载安装PC应用
功能2:下载安装手机Android应用
功能3:添加到桌面快捷方式
功能4:添加网址到收藏夹
功能5:设置IE浏览器主页
功能6:查询扫描注册表操作
功能7:扫描桌面,确定是否存在指定文件
功能8:扫描收藏夹,确定是否存在指定文件
其中的功能函数分派表如下:
自动更新升级
病毒通过http://conf.kklm.n0808.com/adb.zip更新升级adb软件包。

反病毒测试员
发表于 2013-8-22 12:58:58 | 显示全部楼层
了解了 学习了
先知先觉
发表于 2013-8-22 20:00:12 | 显示全部楼层
很不错,谢谢楼主分享,很好的文章
jinglu
发表于 2013-8-22 21:16:28 | 显示全部楼层
哪来这么多病毒!!!
月宫看嫦娥
发表于 2013-8-22 22:45:58 | 显示全部楼层
恩,来学习一下,还真的不了解这方面的知识
dian0098
发表于 2013-8-22 22:50:42 | 显示全部楼层
迅雷有时候挺讨厌的,像病毒。支持瑞星。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-18 06:43 , Processed in 0.134820 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表