<output id="ppj3r"><font id="ppj3r"><del id="ppj3r"></del></font></output>

<dfn id="ppj3r"></dfn>
<output id="ppj3r"><progress id="ppj3r"><p id="ppj3r"></p></progress></output>

<address id="ppj3r"><ruby id="ppj3r"></ruby></address>

    <ins id="ppj3r"></ins>
    <font id="ppj3r"></font>
    <del id="ppj3r"></del>

      瑞星:InpEnhSvc.exe后門分析報告

      2013-08-22 09:52:11
      摘要:InpEnhSvc.exe擁有典型的后門特征,相比于其它后門程序,該病毒側重于后臺應用推廣,包括PC應用和手機Android應用;其次病毒文件帶有正常的數字簽名。

      InpEnhSvc.exe擁有典型的后門特征,相比于其它后門程序,該病毒側重于后臺應用推廣,包括PC應用和手機Android應用,其病毒文件帶有正常的數字簽名:

      本報告主要分析了該后門的功能點,InpEnhSvc主要有三個大功能點:

      后臺惡意推廣手機應用

      常規的遠程控制操作

      自動更新升級

      功能點主要執行流程

      病毒運行時,會創建一個隱藏的0大小的窗口,并注冊接收USB、DISK、COMPORT等硬件設備的更改通知,病毒通過接收遠程不同的功能號來執行相應的功能函數。

      后臺惡意推廣手機應用

      執行時會檢測常見的調試類軟件是否存在,存在的話就不執行后面的流程,檢測的調試類軟件包括procexp.exe、procmon.exe、windbg.exe等。

      檢測temp目錄下是否存在配置文件tools.ini,不存在的話就從conf.kklm.n0808.com下載得來,并通過配置文件的信息啟動相應的推廣更新等操作。

      檢測temp目錄下是否存在adb等手機應用推廣工具,如不存在則下載。

      注冊自身為word插件,隨word啟動而自動加載。

      常規的遠程控制操作

      該功能主要實現了8個普通的遠程控制功能,根據不同的遠程指令id執行對應的函數,功能簡要描述如下:

      功能1:下載安裝PC應用

      功能2:下載安裝手機Android應用

      功能3:添加到桌面快捷方式

      功能4:添加網址到收藏夾

      功能5:設置IE瀏覽器主頁

      功能6:查詢掃描注冊表操作

      功能7:掃描桌面,確定是否存在指定文件

      功能8:掃描收藏夾,確定是否存在指定文件

      其中的功能函數分派表如下:

      自動更新升級

      病毒通過http://conf.kklm.n0808.com/adb.zip更新升級adb軟件包。

      [責任編輯:楊勇]

      相關文章:

      關于瑞星|聯系方式|服務與支持|產品下載| 商務合作|渠道伙伴|網站內容指正

      地址:北京市中關村大街22號?中科大廈1305室  郵編:100190  總機:(010)82678866  傳真:(010)62564934 客服電話:400-660-8866

      版權所有 北京瑞星信息技術有限公司  許可證號:京ICP證080383號 京ICP備08104897號

      備案編號:京公海網安備110108001247號   京網文[2011]0121-043號

           

      欧美另类69XXXXX
      <output id="ppj3r"><font id="ppj3r"><del id="ppj3r"></del></font></output>

      <dfn id="ppj3r"></dfn>
      <output id="ppj3r"><progress id="ppj3r"><p id="ppj3r"></p></progress></output>

      <address id="ppj3r"><ruby id="ppj3r"></ruby></address>

        <ins id="ppj3r"></ins>
        <font id="ppj3r"></font>
        <del id="ppj3r"></del>