近日,一个位于C:\Windows\System32目录下,名为“INPEnhSvc.exe”带有迅雷数字签名的文件,经专业技术人士分析INPEnhSvc.exe的7个版本,被证实内置后门,并且使用类似云指令的技术来强制后台干扰和修改用户电脑,感染量已超过数千万电脑..
来源于《电脑报》微博
“INPEnhSvc.exe”是一个服务,加/regserver参数可注册启动。启动后有3次服务器连接,访问2个域名分别为:
http://conf.kklm.n0808.com(下发配置文件)
http://kkyouxi.stat.kankan.com
从n0808.com中拉取2个配置文件。
1.txt配置了程序行为,检测到“taskmgr.exe|tasklist.exe|procexp.exe|procmon.exe|devenv.exe|windbg.exe|filemon.exe|ollyice.exe|ollydbg.exe|processspy.exe|spyxx.exe|cv.exe|wireshark.exe”等分析工具会自动退出,防止被发现。
2.txt配置了如下apk,满足某些条件,该程序会后台下载安装adb(安卓手机驱动),并将如下APK自动安装到连接至当前计算机的手机上。
http://down4.game.uc.cn/wm/4/4/J ... roid_Build20130624_48004_1538390bd246.apk(九游棋牌大厅)
http://dl.sj.91.com/business/91s ... ndphone_lite134.apk(91手机助手)
http://shouji.360tpcdn.com/360sj ... /com.qihoo.appstore_199801_143149.apk(360手机助手)
http://wap.uuwldh.com/down/1263/uuwldh_1263.apk(UU网络电话)
http://down.gfan.com/gfan/produc ... anMobile_web414.apk(机锋应用市场)
程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为,都由2.txt这个配置文件配置。
迅雷看看某高管将此事定性为业绩压力太大所致,初衷是为了推广公司的无线产品,承认确实伤害了用户体验,声称目前已全面停止。
以上内容来源于http://bbs.kafan.cn/thread-1608253-1-1.html
除了INPEnhSvc.exe外,还有VOCEnhSvc.exe,也是迅雷签名,甚至以插件形式插入office程序(如word、excel或powerpoint)的启动。
8月21日消息,针对上周五迅雷软件内置传播病毒的传闻,今日,迅雷在深圳召开发布会,进行了官方回复(来源:http://tech.qq.com/a/20130821/017797.htm):
迅雷官方人士称,此次事件是由于迅雷旗下子公司迅雷看看某位部门经理,未请示公司,私下指示技术人员进行,已经影响了上千万用户,但是推广合作方并不知道迅雷看看做出此种行为,迅雷目前已经做出清理,上报国家相关部门,并通知腾讯、360、金山处理该恶意软件,并开除事件主要负责人,对上级负责人记过、罚款处罚。
官方人士表示,近期收到用户反馈,在C:\Windows\System32 目录下,发现一个名为 “INPEnhSvc.exe” 带有迅雷数字签名的文件,经技术人员逆向分析,发现该文件有病毒行为,注册启动后有3次服务器连接,其中一个域名与迅雷看看相关;另一个域名可下发配置文件。
配置文件的功能是,在检测到分析工具会自动退出,防止被发现;满足某些条件(如打开Word),该程序会后台下载安装安卓手机驱动,并将一些 APK 自动安装到连接至当前计算机的手机上,包括九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场等;此外,程序内还有”设置IE首页、创建桌面快捷方式、添加IE收藏夹“等行为。
上周五,一条关于迅雷客户端制造并传播病毒的消息在行业媒体间传开,据称,一项内置恶意程序已通过安装量达数亿的“迅雷客户端”扩散近两个月,已有超过2800万用户中招,而迅雷高层在利益驱使下对此行为给予了默许。
据了解,其实早在8月初便有相关传闻流出,蹊跷之处在于,之前迅雷“涉毒”事件的主角却是迅雷旗下另一款视频应用“迅雷看看”,而且因此招致迅雷客户端负责人的不满,与迅雷看看高管引发激烈的内部争论。知情人士透露,迅雷看看负责人的动机在于,如果不通过换量很难完成业绩任务目标,同时,迅雷所有无线产品的量都非常小,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。
迅雷公司董事长邹胜龙表示,由于公司规模扩大,管理上没有警觉、机制也没有跟上,从而让此类破坏迅雷核心价值观的事件发生了,迅雷必须吸取这个深刻的教训。
邹胜龙承诺,迅雷对流氓行为零容忍,不仅对此次事故给予相关责任人严肃处理,更要将这一插件“一个也不能少”地清理干净。
官方人士称,此插件对上述合作伙伴引导的总共安装量在2万左右……
电脑报文章:《内部员工私自造毒? 迅雷“病毒插件”始末》,以下是截选:
……
背后的质疑
然而,迅雷官方发出回应之后,引发了众多质疑的声音。不少人认为迅雷的言论和解释是越描越黑。“难道迅雷公司软件的版本发布由一个部门经理说了就算的吗?公司流程都走到哪里去了?”一位不愿具名的互联网公司负责人私下对记者表达了自己的看法。
互联网知名人士、丁香园技术负责人冯大辉认为,恶意散播计算机病毒已经属于犯罪行为。开开CEO穆荣也质疑:“迅雷方面称,这些应用原本与迅雷集团有流量互换的合作,但该员工的行为并未得到这些应用公司的许可。”
对此,迅雷公司公关总监姜涛在接受本报记者采访时也否认了该经理铤而走险是为了获得私利的可能性,“实际上他是为了完成自己的流量任务而去做这样一个推广插件,但这种执行手段是公司明令禁止的。”
据某媒体报道,有知情人士分析认为,背后深层次的原因,是迅雷下载客户端和迅雷看看在线视频代表着两种截然不同的商业模式和发展方向,在获取公司发展资源支持上长期以来已积压了诸多矛盾。
根据该媒体进一步的报道称,一名迅雷看看的负责人在内部邮件中称,迅雷看看2013年设定的移动安装量每日新增目标数量达15万,按计算一年所需正常推广费用高达5400万,而公司给的预算只有800万用于无线推广,目前还都用在了和品牌硬件厂商合作预装上面。
“在优酷土豆既定好赛道的长跑里,我们跟得颇为辛苦,如果不通过换量很难完成任务目标,同时,迅雷所有无线产品的量还不大,很难实现等价兑换,无奈之下才破例采取插件推送的形式进行换量操作。”该人士在内部邮件中辩解到。
而根据此前迅雷总裁邹胜龙透露的数据,3年前迅雷主要收入来自于广告业务,特别是视频广告。但2013年以来,60%-70%的收入是面向用户的收费,其中会员收费、云加速产品是迅雷主要的收费产品。邹胜龙透露,目前会员收费的主体主要来自于4M、8M、12M的高带宽用户。从这些数据来看,迅雷的盈利中心及公司重心都从迅雷看看转移到了会员下载客户端。
……
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1430.html
