媒體稱迅雷病毒高層默許 6封“內部郵件”難辨真偽(2)
時間:2013-08-23 11:56 來源:未知 作者:名站庫 人氣:
【導讀】:記者查驗:INPEnhSvc.exe存在異常 記者隨即在專業可疑文件分析服務的網站Virustotal(https://www.virustotal.com/zh-cn/)和Virscan(http://www.virscan.org/)上上傳該文件進行分析檢測,Comodo、ESET-NOD32、江...
記者查驗:INPEnhSvc.exe存在異常
記者隨即在專業可疑文件分析服務的網站Virustotal(https://www.virustotal.com/zh-cn/)和Virscan(http://www.virscan.org/)上上傳該文件進行分析檢測,Comodo、ESET-NOD32、江民殺毒等多家知名殺毒軟件廠商提示紅色威脅。其中ESET-NOD32在兩份檢測結果中均直接指出該文件為Win32/Kankan.A trojan類型的木馬病毒。
綜合網絡上現有的用戶反饋和技術分析,INPEnhSvc.exe的運行特征和行為屬于遠程控制類的木馬后門和病毒,它主要功能有:
①獨立于迅雷的自啟動后門程序,未經用戶允許植入Windows的系統目錄,開機自啟動。②根據云端配置文件的指令,在用戶電腦上修改IE瀏覽器首頁、創建桌面快捷方式、在IE收藏夾中添加網址。③病毒配置多種apk,會后臺下載安裝adb(Android手機驅動),當用戶手機連接至電腦上,會在用戶手機上靜默安裝九游棋牌大廳、91手機助手、360手機助手、UU網絡電話、機鋒應用市場等apk軟件。④后門會監測若干種系統管理工具和軟件調試分析工具,一旦發現,后門會停止危險動作,以達到隱藏目的。
知名殺毒軟件廠商正密切關注
針對網上流傳的“360、金山等殺毒軟件公司將此程序已認定為典型病毒”說法,大公科技致電金山毒霸,一位不愿透露姓名的安全工程師向記者表示,目前金山正在對INPEnhSvc.exe進行行為分析,目前還沒有報告結果,對此事不方便做評價。記者多方求證后確認,360與金山兩公司官方尚未做出任何認定,目前均處于分析中,也未透露任何結果。
大公科技就此事詢問瑞星公司,市場總監唐威告訴記者,如果發現有確鑿證據表明迅雷軟件中的程序組件具有病毒行為,瑞星作為殺毒軟件和安全廠商是有義務指出的,并且一定會將其查殺。
目前,迅雷下載軟件客戶端用戶約4.6億,每月活躍用戶為3億。唐威說,假如經過分析掃描確認迅雷INPEnhSvc.exe被判定為病毒,其危害可想而知。
而對于卡飯網等技術交流論壇內INPEnhSvc.exe的分析貼,唐威對其可信程度持保留態度,因操作人員的技術專業程度和軟件所在的環境變量不同,可能會影響分析和判定結果的不同。唐威表示,一切還要等瑞星官方的分析報告結果,才能給出結論,目前無法推測或判斷迅雷通過INPEnhSvc.exe“留后門和傳播病毒”行為是否成立。
迅雷成立緊急調查小組應對 影響尚難預估
2003年在深圳成立的迅雷,10年間已發展成為全球最大的下載軟件提供商。目前迅雷的付費會員超過400多萬,每位會員單月收費10-30元不等,付費會員是迅雷的主要收入。
業內人士分析認為,由于INPEnhSvc.exe程序帶有迅雷的數字簽名,因此無論是迅雷數字簽名泄露、被竊取,還是內部員工和團伙所為,都會令迅雷公司難辭其咎、身陷制造病毒丑聞,極可能導致用戶遷怒于迅雷客戶端,將其卸載,對迅雷造成難以預估的影響。若該程序被認定病毒,殺毒軟件會將其列入攔截黑名單,迅雷長期積累的信譽將受到嚴重影響;而這種挾持用戶、捆綁軟件、修改用戶文件的行為也涉嫌侵犯用戶的隱私,面臨法律風險。
迅雷市場部門一位王姓員工接受大公科技記者采訪時表示,公司已就此事成立緊急調查小組,將適時舉行發布會進行說明和澄清。
