|
||||
InpEnhSvc.exe擁有典型的後門特征,相比於其它後門程序,該病毒側重於後臺應用推廣,包括PC應用和手機Android應用,其病毒文件帶有正常的數字簽名:
本報告主要分析了該後門的功能點,InpEnhSvc主要有三個大功能點:
●後臺惡意推廣手機應用
●常規的遠程控制操作
●自動更新昇級
功能點主要執行流程
病毒運行時,會創建一個隱藏的0大小的窗口,並注冊接收USB、DISK、COMPORT等硬件設備的更改通知,病毒通過接收遠程不同的功能號來執行相應的功能函數。
後臺惡意推廣手機應用
執行時會檢測常見的調試類軟件是否存在,存在的話就不執行後面的流程,檢測的調試類軟件包括procexp.exe、procmon.exe、windbg.exe等。
檢測temp目錄下是否存在配置文件tools.ini,不存在的話就從conf.kklm.n0808.com下載得來,並通過配置文件的信息啟動相應的推廣更新等操作。
檢測temp目錄下是否存在adb等手機應用推廣工具,如不存在則下載。
注冊自身為word插件,隨word啟動而自動加載。
常規的遠程控制操作
該功能主要實現了8個普通的遠程控制功能,根據不同的遠程指令id執行對應的函數,功能簡要描述如下:
●功能1:下載安裝PC應用
●功能2:下載安裝手機Android應用
●功能3:添加到桌面快捷方式
●功能4:添加網址到收藏夾
●功能5:設置IE瀏覽器主頁
●功能6:查詢掃描注冊表操作
●功能7:掃描桌面,確定是否存在指定文件
●功能8:掃描收藏夾,確定是否存在指定文件
其中的功能函數分派表如下:
自動更新昇級
病毒通過http://conf.kklm.n0808.com/adb.zip更新昇級adb軟件包。