今年7月27日，迅雷爆出病毒門(mén)，網(wǎng)友稱發(fā)現(xiàn)一個(gè)位于C:\Windows\System32目錄下、名為“INPEnhSvc.exe”、帶有迅雷數(shù)字簽名的文件有問(wèn)題。網(wǎng)絡(luò)上的新聞雖然不少，但大多都是八卦和概念性的描述，本文是由國(guó)外的小伙伴寫(xiě)的一篇純技術(shù)分析。

　　概述

　　最近ESET殺毒軟件檢測(cè)到一款名為Win32/KanKan的惡意軟件.它有一下3個(gè)重要特征:

　　1. 盡管自身沒(méi)有辦公軟件的功能,但是在注冊(cè)表里注冊(cè)了一個(gè)辦公插件,目的純粹是為了更長(zhǎng)久的在系統(tǒng)中存活.

　　2. 所有連接到受感染電腦的安卓手機(jī)都會(huì)被悄悄的安裝多個(gè)APP.

　　3. 這款惡意軟件擁有迅雷網(wǎng)絡(luò)技術(shù)有限公司的簽名.

　　詳細(xì)分析

　　惡意軟件的簽名信息如下:

　　這個(gè)惡意軟件是一個(gè)windows安裝程序,文件名為INPEnhSetup.exe.開(kāi)始運(yùn)行的時(shí)候會(huì)連接kkyouxi.stat.kankan.com 發(fā)送初始化消息.然后釋放3個(gè)文件:INPEn.dll, INPEnhUD.exe和INPEnhSvc.exe.之后加載庫(kù)文件INPEn.dll到內(nèi)存,調(diào)用它的 DllRegisterServer函數(shù).最后安裝程序又向域名kkyouxi.stat.kankan.com發(fā)送安裝完成消息.

　　INPEn.dll

　　INPEn.dll運(yùn)行時(shí)會(huì)安裝一個(gè)Word,Excel,PowerPoint的名為InputEnhance的插件.通過(guò)創(chuàng)建一個(gè)注冊(cè)表項(xiàng)使得辦公軟件每次啟動(dòng)就會(huì)加載這個(gè)插件,從而達(dá)到隱蔽運(yùn)行的目的.

　　dll文件運(yùn)行之后會(huì)讀取conf.kklm.n0808.com/tools.ini這個(gè)文件.

　　這個(gè)文件包含了多個(gè)參數(shù).其中Tools和VID用base64編碼過(guò).

　　Tools解碼后如下:

　　taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe

　　顯然是檢測(cè)這些工具是否運(yùn)行,如果存在dll文件會(huì)停止運(yùn)行,避免被發(fā)現(xiàn).值得一提的這個(gè)列表里并只有分析工具,沒(méi)有殺毒軟件.看來(lái)作者的目的是為了防止軟件被發(fā)現(xiàn).

　　dll文件運(yùn)行之后還會(huì)通過(guò)訪問(wèn)baidu.com,qq.com等域名來(lái)檢測(cè)網(wǎng)絡(luò)是否通暢.如果沒(méi)有聯(lián)網(wǎng)就周期性的檢測(cè)網(wǎng)絡(luò)連接.

　　INPEnhUD.exe

　　一旦網(wǎng)絡(luò)連接建立,它就會(huì)執(zhí)行INPEnhUD.exe.我們稱這個(gè)文件為更新程序.它首先訪問(wèn)這個(gè)URL:

　　update.kklm.n0808.com/officeaddinupdate.xml.

　　officeaddinupdate.xml當(dāng)前的內(nèi)容如下:

　　這個(gè)xml文件包含一個(gè)url和md5 hash的列表.INPEnhUD.exe會(huì)下載沒(méi)一個(gè)url里的文件,然后比對(duì)md5,如果通過(guò)就執(zhí)行這個(gè)文件.

　　當(dāng)前xml里只有一個(gè)Uninstall.exe,現(xiàn)在該軟件下載這個(gè)程序會(huì)把自己卸載掉.當(dāng)下載完列表里的程序后,最后會(huì)執(zhí)行第三個(gè)文件,INPEnhSvc.exe.

　　INPEnhSvc.exe

　　INPEnhSvc.exe是這3個(gè)文件架構(gòu)的最核心.它獲取一個(gè)包含7個(gè)命令的XML配置文件.7個(gè)命令可以分為下面兩組:

　　local commands: scanreg, scandesktop, scanfavorites

　　outsourced commands: installpcapp, installphoneapp, setdesktopshortcut, addfavorites, setiestartpage

　　整個(gè)程序的架構(gòu)可以用下圖表示:

　　下面分析一下我們最感興趣的”installphoneapp”命令.其實(shí)大多數(shù)命令都可以從它的名字看出他大概的作用.”installphoneapp”會(huì)下載一些安卓應(yīng)用,然后安裝到連接到該電腦的手機(jī)上.

　　當(dāng)我們開(kāi)始調(diào)查的時(shí)候,這些安卓應(yīng)用已經(jīng)不能下載了.我們?cè)谥袊?guó)的一些安全論壇里找到幾個(gè)樣本.下面是這些應(yīng)用的截圖：

　　下圖是ESET每天檢測(cè)到的這個(gè)名為 Win32/kankan軟件的安裝數(shù)據(jù)：