近日迅雷内置后门程序InpEnhSvc.exe感染超过2800万用户的消息备受关注，它会在用户不知情的情况下，在后台自动下载并安装apk到连接至当前计算机的手机上，包括“九游棋牌大厅”、“91手机助手”、“360手机助手”、“UU网络电话”、“机锋应用市场”等。

迅雷官方表示，这是集团子公司迅雷看看一位部门经理，避开公司正常流程，私下指示技术人员，擅自动用子公司资源并冒用迅雷数字签名，制造了带有恶意程序的插件。迅雷已经开除了事件主要负责人，同时，对上级负责人给予记过、警告以及罚款等处罚。

事情似乎已经过去，不过你想不想知道InpEnhSvc.exe到底是怎样运作的？瑞星今天就发布了一份InpEnhSvc.exe后门分析报告，想了解真相的读者不妨继续往下读：

InpEnhSvc.exe拥有典型的后门特征，相比于其它后门程序，该病毒侧重于后台应用推广，包括PC应用和手机Android应用，其病毒文件带有正常的数字签名：

本报告主要分析了该后门的功能点，InpEnhSvc主要有三个大功能点：

1、后台恶意推广手机应用

2、常规的远程控制操作

3、自动更新升级

功能点主要执行流程

病毒运行时，会创建一个隐藏的0大小的窗口，并注册接收USB、DISK、COMPORT等硬件设备的更改通知，病毒通过接收远程不同的功能号来执行相应的功能函数。

后台恶意推广手机应用

执行时会检测常见的调试类软件是否存在，存在的话就不执行后面的流程，检测的调试类软件包括procexp.exe、procmon.exe、windbg.exe等。

检测temp目录下是否存在配置文件tools.ini，不存在的话就从conf.kklm.n0808.com下载得来，并通过配置文件的信息启动相应的推广更新等操作。

检测temp目录下是否存在adb等手机应用推广工具，如不存在则下载。

注册自身为word插件，随word启动而自动加载。

常规的远程控制操作

该功能主要实现了8个普通的远程控制功能，根据不同的远程指令id执行对应的函数，功能简要描述如下：

功能1：下载安装PC应用

功能2：下载安装手机Android应用

功能3：添加到桌面快捷方式

功能4：添加网址到收藏夹

功能5：设置IE浏览器主页

功能6：查询扫描注册表操作

功能7：扫描桌面，确定是否存在指定文件

功能8：扫描收藏夹，确定是否存在指定文件

其中的功能函数分派表如下：

自动更新升级

病毒通过http://conf.kklm.n0808.com/adb.zip更新升级adb软件包。