科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全瑞星:InpEnhSvc.exe后门分析报告

瑞星:InpEnhSvc.exe后门分析报告

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用,其病毒文件带有正常的数字签名.

来源:ZDNet安全频道 2013年8月22日

关键字: 瑞星 后门 分析报告

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 08月22日 综合消息:InpEnhSvc.exe拥有典型的后门特征,相比于其它后门程序,该病毒侧重于后台应用推广,包括PC应用和手机Android应用,其病毒文件带有正常的数字签名:瑞星:InpEnhSvc.exe后门分析报告

本报告主要分析了该后门的功能点,InpEnhSvc主要有三个大功能点:

  • 后台恶意推广手机应用
  • 常规的远程控制操作
  • 自动更新升级

功能点主要执行流程

病毒运行时,会创建一个隐藏的0大小的窗口,并注册接收USB、DISK、COMPORT等硬件设备的更改通知,病毒通过接收远程不同的功能号来执行相应的功能函数。

后台恶意推广手机应用

执行时会检测常见的调试类软件是否存在,存在的话就不执行后面的流程,检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。

瑞星:InpEnhSvc.exe后门分析报告

检测temp目录下是否存在配置文件tools.ini,不存在的话就从conf.kklm.n0808.com下载得来,并通过配置文件的信息启动相应的推广更新等操作。

瑞星:InpEnhSvc.exe后门分析报告瑞星:InpEnhSvc.exe后门分析报告

检测temp目录下是否存在adb等手机应用推广工具,如不存在则下载。

瑞星:InpEnhSvc.exe后门分析报告瑞星:InpEnhSvc.exe后门分析报告

注册自身为word插件,随word启动而自动加载。

瑞星:InpEnhSvc.exe后门分析报告

常规的远程控制操作

该功能主要实现了8个普通的远程控制功能,根据不同的远程指令id执行对应的函数,功能简要描述如下:

  • 功能1:下载安装PC应用
  • 功能2:下载安装手机Android应用
  • 功能3:添加到桌面快捷方式
  • 功能4:添加网址到收藏夹
  • 功能5:设置IE浏览器主页
  • 功能6:查询扫描注册表操作
  • 功能7:扫描桌面,确定是否存在指定文件
  • 功能8:扫描收藏夹,确定是否存在指定文件

其中的功能函数分派表如下:

瑞星:InpEnhSvc.exe后门分析报告

自动更新升级

病毒通过http://conf.kklm.n0808.com/adb.zip更新升级adb软件包。

瑞星:InpEnhSvc.exe后门分析报告

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章