迅雷“病毒”事件始末还原 或为背后利益驱使

记者查验：INPEnhSvc.exe存在异常

记者随即在专业可疑文件分析服务的网站Virustotal（https://www.virustotal.com/zh-cn/）和Virscan（http://www.virscan.org/）上上传该文件进行分析检测，Comodo、ESET-NOD32、江民杀毒等多家知名杀毒软件厂商提示红色威胁，其中ESET-NOD32在两份检测结果中均直接指出该文件为Win32/Kankan.A trojan类型的木马病毒。

综合网络上现有的用户反馈和技术分析，INPEnhSvc.exe的运行特征和行为属于远程控制类的木马后门和病毒，它主要功能有：

①独立于迅雷的自启动后门程序，未经用户允许植入Windows的系统目录，开机自启动。

②根据云端配置文件的指令，在用户电脑上修改IE浏览器首页、创建桌面快捷方式、在IE收藏夹中添加网址。

③病毒配置多种apk，会后台下载安装adb（Android手机驱动），当用户手机连接至电脑上，会在用户手机上静默安装九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场等apk软件。

④后门会监测若干种系统管理工具和软件调试分析工具，一旦发现，后门会停止危险动作，以达到隐藏目的。

知名杀毒软件厂商正密切关注

针对网上流传的“360、金山等杀毒软件公司将此程序已认定为典型病毒”说法，大公科技致电金山毒霸，一位不愿透露姓名的安全工程师向记者表示，目前金山正在对INPEnhSvc.exe进行行为分析，目前还没有报告结果，对此事不方便做评价。

记者多方求证后确认，360与金山两公司官方尚未做出任何认定，目前均处于分析中，也未透露任何结果。

大公科技就此事询问瑞星公司，市场总监唐威告诉记者，如果发现有确凿证据表明迅雷软件中的程序组件具有病毒行为，瑞星作为杀毒软件和安全厂商是有义务指出的，并且一定会将其查杀。

目前，迅雷下载软件客户端用户约4.6亿，每月活跃用户为3亿。唐威说，假如经过分析扫描确认迅雷INPEnhSvc.exe被判定为病毒，其危害可想而知。

而对于卡饭网等技术交流论坛内INPEnhSvc.exe的分析贴，唐威对其可信程度持保留态度，因操作人员的技术专业程度和软件所在的环境变量不同，可能会影响分析和判定结果的不同。

唐威表示，一切还要等瑞星官方的分析报告结果，才能给出结论，目前无法推测或判断迅雷通过INPEnhSvc.exe“留后门和传播病毒”行为是否成立。