媒体称迅雷病毒高层默许 6封“内部邮件”难辨真伪

全球最大的下载服务提供商迅雷公司最近深陷制造病毒丑闻，包括央视财经在内的多家媒体转载文章或发表微博，指出带有迅雷数字签名的病毒INPEnhSvc.exe已通过迅雷客户端扩散近两个月，数千万用户受其感染。这是月初有媒体曝光迅雷内部对病毒事件讨论的六封相关邮件之后，该事件的又一次发酵。

引爆近日迅雷病毒事件讨论的是IT门户Donews的一篇报道，文章称“自6月下旬有用户不断反馈电脑存在异常，发现位于C:\Windows\System32目录下一个名为INPEnhSvc.exe带有迅雷数字签名的文件。经专业技术人士分析INPEnhSvc.exe的7个版本，被证实内置后门，并且使用类似云指令的技术来强制后台干扰和修改用户电脑”“截止目前该病毒已通过迅雷客户端扩散近两个月，已有超过2800万用户中招，并且依然每天有几十万在扩散运行。”

该文一经发表引发众多媒体转载，并在行业内引起轩然大波，陆续有网友在论坛内发帖进行质疑和调查。目前Donews原文已经无法打开（不知是因为文章表述失当还是迫于当事方的公关压力），但文中所涉及“迅雷制造并传播病毒”问题却未止步于此。20日晚间，“迅雷被曝制造并传播计算机病毒！数千万用户成肉鸡”这一消息，经央视财经新浪官方微博转发，再度引发网友热议。

央视财经微博截屏（大公科技配图）

六封迅雷“内部邮件”难辨真伪

事实上，迅雷卷入“病毒事件”早在月初已现端倪。

此前有科技博客发表文章表示，迅雷制造并传毒的背后是利益驱使，高层方面则对此行为给予了默许。记者利用谷歌快照，还原了原载于8月1日雷锋网的一篇文章《迅雷惊现“掘雷者”高层包庇共谋私利》（目前该文章也已无法打开）。

文中提供了6封来自“迅雷各大高管以及迅雷看看高管”的内部邮件，表述“此次事故来自迅雷看看业绩压力所为，初衷是为了推广公司的无线产品”“无奈之下才破例采取插件推送的形式进行换量操作”“通过帮他们推广手机 端应用，他们来帮我们推广无线看看，达到换量的目的”。

20日下午，大公科技获得国内著名的计算机安全交流平台卡饭网网友提取的文件INPEnhSvc.exe，查看该程序属性时发现其确实具有“ShenZhen Thunder Networking Technologies Ltd.”的数字签名，确认该文件的确来源于迅雷的组件。

INPEnhSvc.exe的数字签名（大公科技配图）

记者查验：INPEnhSvc.exe存在异常

记者随即在专业可疑文件分析服务的网站Virustotal（https://www.virustotal.com/zh-cn/）和Virscan（http://www.virscan.org/）上上传该文件进行分析检测，Comodo、ESET-NOD32、江民杀毒等多家知名杀毒软件厂商提示红色威胁。其中ESET-NOD32在两份检测结果中均直接指出该文件为Win32/Kankan.A trojan类型的木马病毒。

综合网络上现有的用户反馈和技术分析，INPEnhSvc.exe的运行特征和行为属于远程控制类的木马后门和病毒，它主要功能有：

①独立于迅雷的自启动后门程序，未经用户允许植入Windows的系统目录，开机自启动。②根据云端配置文件的指令，在用户电脑上修改IE浏览器首页、创建桌面快捷方式、在IE收藏夹中添加网址。③病毒配置多种apk，会后台下载安装adb（Android手机驱动），当用户手机连接至电脑上，会在用户手机上静默安装九游棋牌大厅、91手机助手、360手机助手、UU网络电话、机锋应用市场等apk软件。④后门会监测若干种系统管理工具和软件调试分析工具，一旦发现，后门会停止危险动作，以达到隐藏目的。

知名杀毒软件厂商正密切关注

针对网上流传的“360、金山等杀毒软件公司将此程序已认定为典型病毒”说法，大公科技致电金山毒霸，一位不愿透露姓名的安全工程师向记者表示，目前金山正在对INPEnhSvc.exe进行行为分析，目前还没有报告结果，对此事不方便做评价。记者多方求证后确认，360与金山两公司官方尚未做出任何认定，目前均处于分析中，也未透露任何结果。

大公科技就此事询问瑞星公司，市场总监唐威告诉记者，如果发现有确凿证据表明迅雷软件中的程序组件具有病毒行为，瑞星作为杀毒软件和安全厂商是有义务指出的，并且一定会将其查杀。

目前，迅雷下载软件客户端用户约4.6亿，每月活跃用户为3亿。唐威说，假如经过分析扫描确认迅雷INPEnhSvc.exe被判定为病毒，其危害可想而知。

而对于卡饭网等技术交流论坛内INPEnhSvc.exe的分析贴，唐威对其可信程度持保留态度，因操作人员的技术专业程度和软件所在的环境变量不同，可能会影响分析和判定结果的不同。唐威表示，一切还要等瑞星官方的分析报告结果，才能给出结论，目前无法推测或判断迅雷通过INPEnhSvc.exe“留后门和传播病毒”行为是否成立。

迅雷成立紧急调查小组应对 影响尚难预估

2003年在深圳成立的迅雷，10年间已发展成为全球最大的下载软件提供商。目前迅雷的付费会员超过400多万，每位会员单月收费10-30元不等，付费会员是迅雷的主要收入。

业内人士分析认为，由于INPEnhSvc.exe程序带有迅雷的数字签名，因此无论是迅雷数字签名泄露、被窃取，还是内部员工和团伙所为，都会令迅雷公司难辞其咎、身陷制造病毒丑闻，极可能导致用户迁怒于迅雷客户端，将其卸载，对迅雷造成难以预估的影响。若该程序被认定病毒，杀毒软件会将其列入拦截黑名单，迅雷长期积累的信誉将受到严重影响；而这种挟持用户、捆绑软件、修改用户文件的行为也涉嫌侵犯用户的隐私，面临法律风险。

迅雷市场部门一位王姓员工接受大公科技记者采访时表示，公司已就此事成立紧急调查小组，将适时举行发布会进行说明和澄清。