今年8月初以來，一條關(guān)于迅雷客戶端制造并傳播病毒的傳聞在業(yè)內(nèi)流傳。更有匿名信息源以郵件形式向媒體爆料稱，一項(xiàng)內(nèi)置惡意程序已通過安裝量達(dá)數(shù)億的“迅雷客戶端”擴(kuò)散近兩個月，已有超過2800萬用戶中招。

原來是臨時工干的

昨夜，迅雷在深圳召開發(fā)布會，對上述傳聞進(jìn)行了官方回復(fù)。迅雷公司高級副總裁黃芃表示，公司在收到用戶反饋后組織排查，結(jié)果發(fā)現(xiàn)，是集團(tuán)子公司迅雷看看一位部門經(jīng)理，避開公司正常流程，私下指示技術(shù)人員，擅自動用子公司資源并冒用迅雷數(shù)字簽名，制造了帶有惡意程序的插件，原來是“臨時工”干的。

迅雷病毒真面目

經(jīng)分析“迅雷病毒”位于C：\Windows\System32目錄下，名為“INPEnhSvc.exe”，帶有迅雷數(shù)字簽名，該文件有流氓行為：在用戶不知情的情況下，該程序會后臺下載并自動安裝APK到連接至當(dāng)前計(jì)算機(jī)的手機(jī)上，這些APK為“九游棋牌大廳”、“91手機(jī)助手”、“360手機(jī)助手”、“UU網(wǎng)絡(luò)電話”、“機(jī)鋒應(yīng)用市場”。

InpEnhSvc.exe后門分析

InpEnhSvc.exe擁有典型的后門特征，相比于其它后門程序，該病毒側(cè)重于后臺應(yīng)用推廣，包括PC應(yīng)用和手機(jī)Android應(yīng)用，其病毒文件帶有正常的數(shù)字簽名：

InpEnhSvc.exe文件信息

InpEnhSvc主要有三個大功能點(diǎn)：

功能一：后臺惡意推廣手機(jī)應(yīng)用

功能二：常規(guī)的遠(yuǎn)程控制操作

功能三：自動更新升級

功能點(diǎn)主要執(zhí)行流程

病毒運(yùn)行時，會創(chuàng)建一個隱藏的0大小的窗口，并注冊接收USB、DISK、COMPORT等硬件設(shè)備的更改通知，病毒通過接收遠(yuǎn)程不同的功能號來執(zhí)行相應(yīng)的功能函數(shù)。

InpEnhSvc運(yùn)行前檢測

功能一：后臺惡意推廣手機(jī)應(yīng)用

InpEnhSvc調(diào)試

InpEnhSvc非常狡猾，在執(zhí)行時會檢測常見的調(diào)試類軟件是否存在，存在的話就不執(zhí)行后面的流程，檢測的調(diào)試類軟件包括procexp.exe、procmon.exe、windbg.exe等。

InpEnhSvc檢測temp目錄下是否存在配置文件tools.ini，不存在的話就從conf.kklm.n0808.com下載得來，并通過配置文件的信息啟動相應(yīng)的推廣更新等操作。

InpEnhSvc下載tools.ini

InpEnhSvc檢測adb工具

InpEnhSvc檢測temp目錄下是否存在adb等手機(jī)應(yīng)用推廣工具，如不存在則下載。

InpEnhSvc注冊自身為word插件

至此，你應(yīng)該對迅雷“病毒”有了清醒的認(rèn)識了——可以說是非常高明謹(jǐn)慎的“病毒”，會檢測有沒有進(jìn)程在監(jiān)視，如果有就不會發(fā)作。如果沒有就開始行動，那么這個“病毒”會做什么，讓我們接下來看。

偽裝office進(jìn)程

偽裝office進(jìn)程

偽裝成word插件

我們發(fā)現(xiàn)，InpEnhSvc.exe還有更高明的“手段”，它會注冊自身為word插件，隨word啟動而自動加載。這樣看起來，InpEnhSvc.exe就把自己“洗白”了。

常規(guī)的遠(yuǎn)程控制操作與更新

InpEnhSvc.exe常規(guī)的遠(yuǎn)程控制操作

該功能主要實(shí)現(xiàn)了8個普通的遠(yuǎn)程控制功能，根據(jù)不同的遠(yuǎn)程指令id執(zhí)行對應(yīng)的函數(shù)，功能簡要描述如下：

功能1：下載安裝PC應(yīng)用

功能2：下載安裝手機(jī)Android應(yīng)用

功能3：添加到桌面快捷方式

功能4：添加網(wǎng)址到收藏夾

功能5：設(shè)置IE瀏覽器主頁

功能6：查詢掃描注冊表操作

功能7：掃描桌面，確定是否存在指定文件

功能8：掃描收藏夾，確定是否存在指定文件

其中的功能函數(shù)分派表如下：

函數(shù)功能分派

自動更新升級

病毒通過http：//conf.kklm.n0808.com/adb.zip更新升級adb軟件包。

自動更新

編輯點(diǎn)評：

“在優(yōu)酷土豆既定好賽道的長跑里，我們跟得頗為辛苦，如果不通過換量很難完成任務(wù)目標(biāo)，同時，迅雷所有無線產(chǎn)品的量還不大，很難實(shí)現(xiàn)等價兌換，無奈之下才破例采取插件推送的形式進(jìn)行換量操作。”這是迅雷“病毒”當(dāng)事經(jīng)理對自己的辯解，不過看起來這不僅僅是當(dāng)事經(jīng)理的想法吧。

雖然迅雷給了大眾“管教不嚴(yán)”的說法，但事實(shí)是怎樣的，相信大家在看了這個“病毒”的分析，心里會有一個公正的判斷?，F(xiàn)在的互聯(lián)網(wǎng)競爭確實(shí)是非常激烈殘酷，但是奉勸當(dāng)局者還是各守最起碼的底線，不然，即便是用戶不揭發(fā)你的丑行，就是對手也不會放過你拱手送上的“機(jī)會”。