瑞星：InpEnhSvc.exe后門(mén)分析報(bào)告

InpEnhSvc.exe擁有典型的后門(mén)特征，相比于其它后門(mén)程序，該病毒側(cè)重于后臺(tái)應(yīng)用推廣，包括PC應(yīng)用和手機(jī)Android應(yīng)用，其病毒文件帶有正常的數(shù)字簽名：

本報(bào)告主要分析了該后門(mén)的功能點(diǎn)，InpEnhSvc主要有三個(gè)大功能點(diǎn)：

后臺(tái)惡意推廣手機(jī)應(yīng)用

常規(guī)的遠(yuǎn)程控制操作

自動(dòng)更新升級(jí)

功能點(diǎn)主要執(zhí)行流程

病毒運(yùn)行時(shí)，會(huì)創(chuàng)建一個(gè)隱藏的0大小的窗口，并注冊(cè)接收USB、DISK、COMPORT等硬件設(shè)備的更改通知，病毒通過(guò)接收遠(yuǎn)程不同的功能號(hào)來(lái)執(zhí)行相應(yīng)的功能函數(shù)。

后臺(tái)惡意推廣手機(jī)應(yīng)用

執(zhí)行時(shí)會(huì)檢測(cè)常見(jiàn)的調(diào)試類軟件是否存在，存在的話就不執(zhí)行后面的流程，檢測(cè)的調(diào)試類軟件包括procexp.exe、procmon.exe、windbg.exe等。

檢測(cè)temp目錄下是否存在配置文件tools.ini，不存在的話就從conf.kklm.n0808.com下載得來(lái)，并通過(guò)配置文件的信息啟動(dòng)相應(yīng)的推廣更新等操作。

檢測(cè)temp目錄下是否存在adb等手機(jī)應(yīng)用推廣工具，如不存在則下載。

注冊(cè)自身為word插件，隨word啟動(dòng)而自動(dòng)加載。

常規(guī)的遠(yuǎn)程控制操作

該功能主要實(shí)現(xiàn)了8個(gè)普通的遠(yuǎn)程控制功能，根據(jù)不同的遠(yuǎn)程指令id執(zhí)行對(duì)應(yīng)的函數(shù)，功能簡(jiǎn)要描述如下：

功能1：下載安裝PC應(yīng)用

功能2：下載安裝手機(jī)Android應(yīng)用

功能3：添加到桌面快捷方式

功能4：添加網(wǎng)址到收藏夾

功能5：設(shè)置IE瀏覽器主頁(yè)

功能6：查詢掃描注冊(cè)表操作

功能7：掃描桌面，確定是否存在指定文件

功能8：掃描收藏夾，確定是否存在指定文件

其中的功能函數(shù)分派表如下：

自動(dòng)更新升級(jí)

病毒通過(guò)http://conf.kklm.n0808.com/adb.zip更新升級(jí)adb軟件包。

相關(guān)文章:

• 瑞星安全月刊2013年7月 總第二十七期
• 2013年上半年中國(guó)信息安全綜合報(bào)告
• 互聯(lián)網(wǎng)全面泄密時(shí)代來(lái)臨——國(guó)家信息中心信息安全研究與服務(wù)中心聯(lián)合瑞星發(fā)布上半年信息安全報(bào)告
• 瑞星安全月刊2013年6月 總第二十六期
• 瑞星再獲杭州銀行三千點(diǎn)大單 持續(xù)護(hù)衛(wèi)金融業(yè)信息安全
• “棱鏡門(mén)”解讀 瑞星揭露國(guó)內(nèi)信息安全五大盲區(qū)
• 瑞星預(yù)警：Apache現(xiàn)重大漏洞 全球過(guò)半網(wǎng)站資料不保
• APP“靜默渠道”推廣 利用軟件后門(mén)自動(dòng)下載
• 利用網(wǎng)絡(luò)流量分析來(lái)提高網(wǎng)絡(luò)安全可視性
• 瑞星安全日?qǐng)?bào)（2013.5.30）