新闻来源:安天实验室安全分析与应急处理中心(Antiy CERT)
2009年5月19日,暴风影音域名服务器所在机房被黑客攻击,使其客户端升级程序无法正常访问域名服务器,从而间接导致全国多处网络不能正常访问。该事件引起一些关联的猜测和假想,亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。
安天于5月27日收到用户委托,对stormliv.exe的行为安全性进行了初步分析,并根据目前的分析情况撰写此报告。 暴 风影音客户端升级程序分析报告 出处:安天实验室安全分析与应急处理中心(Antiy CERT) 时间:2009年5月28日
一、 事件描述
2009年5月19日,暴风影音域名服务器所在机房被黑客攻击,使其客户端升级程序无法正常访问域名服务器,从而间接导致全国多处网络不能正常访 问。该事件引起一些关联的猜测和假想,亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。
安天于5月27日收到用户委托,对stormliv.exe的行为安全性进行了初步分析,并根据目前的分析情况撰写此报告。
二、 后门的相关背景知识
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
三、 对样本的排查分类定性过程。
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
四、对照分析所选取的典型后门样本
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
五、典型后门样本行为分析
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
六、 暴风影音客户端升级程序分析
安天应急处理中心的反病毒工程师对媒体反映可能为后门程序的暴风影音声级程序stormliv.exe进行了初步的动、静态分析。
暴风影音客户端升级程序(stormliv.exe)的描述信息如下,参见图2:
文件名称: stormliv.exe
文件大小: 582 KB (596,064 字节)
文件时间: 2009-04-21 12:01:44
文件 MD5: AA88EFCC10091255529DB5A125CCD326
文件 CRC: 8CD96E26
开发工具: Microsoft Visual C++ 6.0
加壳工具: 无
版本:3.9.4.17
数字签名: 有
![]()
stormliv.exe具有数字签名和正常版本信息,同时在手动运行时将弹出对话框,这一点是符合安天关于文件静态可见性的规范的,同时未使用进程、服务、端口隐藏技术,也符合动态可见性规范。如图3。
![]()
[图3] 暴风影音客户端升级程序运行界面
根据对网络舆论的分析,对暴风升级程序的“后门”质疑主要来自其开机自动运行和进行网络通讯、升级等行为。
对于相关行为的实现及是否具有后门特性,我们进行了进一步分析:
stormliv.exe确实通过创建服务实现自动运行,见图4。
[图4] 暴风影音客户端升级程序创建服务(Atool截屏)
stormliv.exe使用UDP协议实现各程序模块进程间通讯,见图5。
[图5] 暴风影音客户端升级程序网络状态(Atool截屏)
stormliv.exe在运行时,发现一个名为meedb.dll的动态链接库会创建用户态钩子。但经过分析确认,其功能应为用于光盘驱动器区码匹配控制和渲染引擎控制,符合媒体播放软件的正常使用需要,初步判定不是用于“窃取用户键盘记录”,见图6。
[图6] 暴风影音客户端升级程序用户态钩子
通过对stormliv.exe的反汇编分析,可以发现其主要功能包括:
1. 程序升级功能(检查版本更新,更新程序)
从图7所示的暴风影音客户端升级程序代码片断可以看出,stormliv.exe通过检测配置文件storm_ctrl.ini(http://download.baofeng.com/stormII/storm_ctrl.ini)判断是否有新版本程序存在,若该文件不存在,则将显示错误信息。该文件将在使用后被删除。
[图7] 暴风影音客户端升级程序代码片断
2.回传无法播放文件的服务程序
从图9所示的暴风影音客户端升级程序代码片断可以看出,stormliv.exe用户选择提交不可播放文件时(见图8),无法播放的文件将通过http://noplay.baofeng.com的9000端口回传。
[图8] 不可播放文件提交界面
[图9] 暴风影音客户端升级程序代码片断
3. 下载广告
从图10所示的暴风影音客户端升级程序代码片断可以看出,stormliv.exe通过http://download.baofeng.com下载exmat.ini文件。
2009年5月19日,暴风影音域名服务器所在机房被黑客攻击,使其客户端升级程序无法正常访问域名服务器,从而间接导致全国多处网络不能正常访问。该事件引起一些关联的猜测和假想,亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。
安天于5月27日收到用户委托,对stormliv.exe的行为安全性进行了初步分析,并根据目前的分析情况撰写此报告。 暴 风影音客户端升级程序分析报告 出处:安天实验室安全分析与应急处理中心(Antiy CERT) 时间:2009年5月28日
一、 事件描述
2009年5月19日,暴风影音域名服务器所在机房被黑客攻击,使其客户端升级程序无法正常访问域名服务器,从而间接导致全国多处网络不能正常访 问。该事件引起一些关联的猜测和假想,亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。
安天于5月27日收到用户委托,对stormliv.exe的行为安全性进行了初步分析,并根据目前的分析情况撰写此报告。
二、 后门的相关背景知识
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
三、 对样本的排查分类定性过程。
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
四、对照分析所选取的典型后门样本
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
五、典型后门样本行为分析
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
六、 暴风影音客户端升级程序分析
安天应急处理中心的反病毒工程师对媒体反映可能为后门程序的暴风影音声级程序stormliv.exe进行了初步的动、静态分析。
暴风影音客户端升级程序(stormliv.exe)的描述信息如下,参见图2:
文件名称: stormliv.exe
文件大小: 582 KB (596,064 字节)
文件时间: 2009-04-21 12:01:44
文件 MD5: AA88EFCC10091255529DB5A125CCD326
文件 CRC: 8CD96E26
开发工具: Microsoft Visual C++ 6.0
加壳工具: 无
版本:3.9.4.17
数字签名: 有
stormliv.exe具有数字签名和正常版本信息,同时在手动运行时将弹出对话框,这一点是符合安天关于文件静态可见性的规范的,同时未使用进程、服务、端口隐藏技术,也符合动态可见性规范。如图3。
[图3] 暴风影音客户端升级程序运行界面
根据对网络舆论的分析,对暴风升级程序的“后门”质疑主要来自其开机自动运行和进行网络通讯、升级等行为。
对于相关行为的实现及是否具有后门特性,我们进行了进一步分析:
stormliv.exe确实通过创建服务实现自动运行,见图4。
[图4] 暴风影音客户端升级程序创建服务(Atool截屏)
stormliv.exe使用UDP协议实现各程序模块进程间通讯,见图5。
[图5] 暴风影音客户端升级程序网络状态(Atool截屏)
stormliv.exe在运行时,发现一个名为meedb.dll的动态链接库会创建用户态钩子。但经过分析确认,其功能应为用于光盘驱动器区码匹配控制和渲染引擎控制,符合媒体播放软件的正常使用需要,初步判定不是用于“窃取用户键盘记录”,见图6。
[图6] 暴风影音客户端升级程序用户态钩子
通过对stormliv.exe的反汇编分析,可以发现其主要功能包括:
1. 程序升级功能(检查版本更新,更新程序)
从图7所示的暴风影音客户端升级程序代码片断可以看出,stormliv.exe通过检测配置文件storm_ctrl.ini(http://download.baofeng.com/stormII/storm_ctrl.ini)判断是否有新版本程序存在,若该文件不存在,则将显示错误信息。该文件将在使用后被删除。
[图7] 暴风影音客户端升级程序代码片断
2.回传无法播放文件的服务程序
从图9所示的暴风影音客户端升级程序代码片断可以看出,stormliv.exe用户选择提交不可播放文件时(见图8),无法播放的文件将通过http://noplay.baofeng.com的9000端口回传。
[图8] 不可播放文件提交界面
[图9] 暴风影音客户端升级程序代码片断
3. 下载广告
从图10所示的暴风影音客户端升级程序代码片断可以看出,stormliv.exe通过http://download.baofeng.com下载exmat.ini文件。
