InpEnhSvc.exe后门分析报告？迅雷

在上一篇文章中，小编为您详细介绍了关于《被劝架人强奸？女子和男友吵架后路边哭泣》相关知识。 本篇中小编将再为您讲解标题InpEnhSvc.exe后门分析报告？迅雷。

迅雷官方信息透露，⑦月②⑦日，迅雷公司接到①位网民的反馈：发现①个位于C:\Windows\System③②目录下，名为INPEnhSvc.exe，带有迅雷数字签名的文件有问题，公司技术人员迅速从用户机器上将此文件取回，经逆向分析，发现该文件有流氓行为：其在满足某些条件时，会在用户不知情的情况下，该程序会后台下载并自动安装APK到连接至当前计算机的手机上，这些APK为⑨游棋牌大厅、⑨①手机助手、③⑥⓪手机助手、UU网络电话、机锋应用市场带来流量。

　　对此，瑞星发布了InpEnhSvc.exe后门分析报告，报告内容如下：

　　InpEnhSvc.exe拥有典型的后门特征，相比于其它后门程序，该病毒侧重于后台应用推广，包括PC应用和手机Android应用，其病毒文件带有正常的数字签名：

　　本报告主要分析了该后门的功能点，InpEnhSvc主要有③个大功能点：

　　①. 后台恶意推广手机应用

　　②. 常规的远程控制操作

　　③. 自动更新升级

　　功能点主要执行流程

　　病毒运行时，会创建①个隐藏的⓪大小的窗口，并注册接收USB、DISK、COMPORT等硬件设备的更改通知，病毒通过接收远程不同的功能号来执行相应的功能函数。

　　后台恶意推广手机应用

　　执行时会检测常见的调试类软件是否存在，存在的话就不执行后面的流程，检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。

　　检测temp目录下是否存在配置文件tools.ini，不存在的话就从conf.kklm.n⓪⑧⓪⑧.com下载得来，并通过配置文件的信息启动相应的推广更新等操作。

　　检测temp目录下是否存在adb等手机应用推广工具，如不存在则下载。

　　注册自身为word插件，随word启动而自动加载。

　　常规的远程控制操作

　　该功能主要实现了⑧个普通的远程控制功能，根据不同的远程指令id执行对应的函数，功能简要描述如下：

　　l 功能①：下载安装PC应用

　　l 功能②：下载安装手机Android应用

　　l 功能③：添加到桌面快捷方式

　　l 功能④：添加网址到收藏夹

　　l 功能⑤：设置IE浏览器主页

　　l 功能⑥：查询扫描注册表操作

　　l 功能⑦：扫描桌面，确定是否存在指定文件

　　l 功能⑧：扫描收藏夹，确定是否存在指定文件

　　其中的功能函数分派表如下：

　　自动更新升级

编后语：关于《InpEnhSvc.exe后门分析报告？迅雷》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《三色SIM卡托现身？iPad5将有金色版》，感兴趣的同学可以点击进去看看。