本文是轉(zhuǎn)載，作者地址在文章尾部有！

　　文章我只簡(jiǎn)化了2張圖片！

　　作者：

　　我個(gè)人評(píng)論：建議大家還是不要用這個(gè)軟件了，一個(gè)有過不良記錄的流氓軟件，我們拿什么來相信，再者，難保它不會(huì)又弄出新的貓膩！

　　這幾天看新聞，發(fā)現(xiàn)暴風(fēng)七搞八搞，居然包裝成了5.19斷網(wǎng)的受害者，聽說實(shí)際上是暴風(fēng)被ZF封殺，在新版本發(fā)布前，不準(zhǔn)提供舊版本的下載，結(jié)果搞成了什么“召回”。然后就是一幫弱智媒體跟著瞎起哄，看得我牙都笑掉了。哄誰哪？圈里誰不知道暴風(fēng)是怎么回事？說白了就是一款高水平的流氓軟件，或者干脆叫間諜軟件。稍微動(dòng)動(dòng)腦子就明白了，如果不是上億用戶的暴風(fēng)本身有什么貓膩，幾個(gè)小黑客怎么可能搞出那么大動(dòng)靜？

　　前幾天翹班在家，閑著沒事把GF筆記本上的暴風(fēng)逆向了一下，結(jié)果發(fā)現(xiàn)了一個(gè)名叫stormliv的后臺(tái)進(jìn)程，每20秒自動(dòng)輪詢一次暴風(fēng)的廣告服務(wù)器，說白了就是暴風(fēng)讓它的1.2億用戶的電腦自動(dòng)去點(diǎn)它的廣告，用虛假點(diǎn)擊騙廣告主的錢，但是技藝不精，結(jié)果搞成了一個(gè)死循環(huán)，大量地占用dns資源，即便沒有這次黑客攻擊，釀成大禍也是遲早的事。

　　更蹊蹺的是，我又測(cè)了一個(gè)519斷網(wǎng)后，暴風(fēng)25號(hào)發(fā)的一個(gè)新版本，這個(gè)版本里，導(dǎo)致斷網(wǎng)的那些貓膩居然還都在！stormliv的死循環(huán)輪詢機(jī)制根本沒去掉，只是把輪詢時(shí)間改得間隔長(zhǎng)了一點(diǎn)，用了一些更復(fù)雜更隱蔽的邏輯，仍然是在在后臺(tái)偷偷運(yùn)行，而且刪除后還會(huì)重新生成，服務(wù)刪除或禁止后也會(huì)復(fù)活，普通人根本清不掉。

　　最cao蛋的是這軟件在開機(jī)時(shí)，會(huì)通過服務(wù)項(xiàng)強(qiáng)行自啟動(dòng)，一般人根本關(guān)不掉這個(gè)開機(jī)啟動(dòng)項(xiàng)，占用內(nèi)存不說，關(guān)鍵是把開機(jī)速度搞得巨慢(我把暴風(fēng)卸了后，感覺本本的速度有明顯提升)。就算把軟件整個(gè)關(guān)掉了，還會(huì)駐留在內(nèi)存里后臺(tái)運(yùn)行，卸也很難卸干凈，另外還會(huì)干擾其他視頻播放軟件關(guān)聯(lián)視頻文件，這不是流氓是什么？

　　在壇子里混這么多年，從來都是潛水，這次是在受不了了，赤膊上陣，發(fā)個(gè)處女貼，說得不對(duì)的，希望大家包涵。

　　先分析一下暴風(fēng)5月8日版本。

　　分析目標(biāo)：stormliv.exe

　　一.靜態(tài)特征：

　　版本：3.9.5.15

　　數(shù)字簽名：有 [北京暴風(fēng)網(wǎng)際科技有限公司 ]

　　簽名時(shí)間：2009年5月8日 11:06:16

　　大?。?596,064 字節(jié)

　　編譯日期：20009年5月8日 03:05:38(GMT)

　　CheckSum:A1192

　　編譯工具: Mircosoft Visual C++ 6.0

　　加殼：無

　　二.動(dòng)態(tài)特征

　　1.啟動(dòng)和保護(hù)：

　　stormlive.exe通過服務(wù)實(shí)現(xiàn)開機(jī)自啟動(dòng)，而且此服務(wù)不能被刪除、禁用、停止，如果刪除或停用或禁止，下次再次運(yùn)行暴風(fēng)影音主程序storm.exe 會(huì)自動(dòng)恢復(fù)。

　　2.端口偵聽:

　　此進(jìn)程被用于暴風(fēng)影音多進(jìn)程通訊，使用開啟本地端口偵聽，UDP協(xié)議實(shí)現(xiàn)。

　　監(jiān)聽UDP 1025 5357等端口，實(shí)現(xiàn)Stline(暴風(fēng)盒子) ,stormlive和storm.exe間通訊

　　3.用戶態(tài)鉤子

　　stormlive.exe啟動(dòng)后，其meedb.dll會(huì)HOOK DeviceIoControl ,RegQueryValueA,RegQueryValueExW,CoCreateInstance 等函數(shù)

　　主要是用于過濾DVD區(qū)碼控制(IOCTL_DVD_GET_REGION )和一些COM接口控制。

　　三.stormlive主要功能分析:

　　1.暴風(fēng)影音自動(dòng)升級(jí)功能

　　stormlive會(huì)自動(dòng)連接 hxxp://download.baofeng.com/stormII/storm_ctrl.ini 文件

　　這是一個(gè)普通的升級(jí)配置文件。

　　目前內(nèi)容如下，可以看到有最新版本、升級(jí)URL、是否強(qiáng)制升級(jí)、是否提示用戶、提示用戶信息等配置內(nèi)容

　　[SERVER]

　　version=3.09.06.10

　　url=

　　force=0

　　alert=0

　　info=”暴風(fēng)影音有新版\n\n，已更新至3.09.06.10″

　　[EXPERT]

　　lib=

　　url=

　　升級(jí)部分逆向代碼：如圖2

　　2.信息統(tǒng)計(jì):

　　目前發(fā)現(xiàn)可能連接下面這些地址來獲取信息、或者回傳統(tǒng)計(jì)，沒發(fā)現(xiàn)涉及用戶隱私或者系統(tǒng)配置信息等。

　　hxxp://active.baofeng.com/active2?pid=%d&id=%d&uid=%s&t=%d&v=%s&i

　　用戶活動(dòng)信息,包括安裝日期，UID,ID等信息。

　　逆向代碼：如圖3

　　hxxp://areacode.baofeng.com:8081/adp/custom/;action=get_city_code

　　這個(gè)似乎是用來查詢當(dāng)前城市代碼的，可能廣告彈出需要。

　　hxxp://bukebo.baofeng.com/upload/talks.do?talkMd5=%s&talkVersion=

　　hxxp://midInfo.baofeng.com/mid/downSucc.html?ver=%s&pl_id=%s

　　MID統(tǒng)計(jì)信息，上傳版本和MID

　　hxxp://midsd.baofeng.com/p2p/seed?name=

　　獲取P2P種子信息，stormlive.exe似乎在升級(jí)時(shí)使用了P2P技術(shù)。

　　3.不可播放文件回傳。如圖4

　　當(dāng)暴風(fēng)影音發(fā)現(xiàn)不可播放文件時(shí)，會(huì)通過stormlive.exe,連接:hxxp://noplay.baofeng.com:9000/upload/upload.do來上傳這個(gè)文件的部分片段。

　　這也是一個(gè)有界面的功能，只有用戶手動(dòng)選擇不再自動(dòng)提示，才會(huì)后臺(tái)靜默上傳。

　　逆向代碼如下：如圖5

　　4.下載廣告

　　stormlive.exe會(huì)連接download.baofeng.com,試圖下載一個(gè)exmat.ini，其中包含了廣告信息。

　　廣告鏈接都是一個(gè)個(gè)ZIP壓縮包，但其中未包含可執(zhí)行程序。

　　逆向代碼：如圖6

　　其中在下載廣告時(shí)，可能是為了繞過某些安全軟件或anti-ad軟件對(duì)其的封鎖，沒有采用HOSTS文件中的配置，而是自行獲取download.baofeng.com的域名，而且會(huì)在一個(gè)死循環(huán)中每隔20000 毫秒(20秒）發(fā)送一次DNS查詢包。

　　這段代碼可能是導(dǎo)致此次斷網(wǎng)門的罪魁禍?zhǔn)住?/p>

　　逆向代碼如下：如圖7

　　可以看到，如果對(duì)download.baofeng.com的gethostbyname調(diào)用失敗，會(huì)每隔20秒重新獲取一次，直到獲取成功為止。

　　這樣每小時(shí)就會(huì)發(fā)送數(shù)百個(gè)查詢包，乘上暴風(fēng)的用戶量，數(shù)量之大非常恐怖。

　　四.清除方法

　　暴風(fēng)影音新版共有3個(gè)沒必要存在的進(jìn)程：

　　1.stormpop.exe 用于彈出廣告。

　　2.stline.exe 暴風(fēng)盒子，也是廣告和推薦等。

　　3.stormlive.exe 前述的升級(jí)、回傳客戶端。

　　其中前兩個(gè)直接刪除即可清除掉。

　　最后一個(gè)刪除后還會(huì)重新生成，服務(wù)刪除或禁止后也會(huì)復(fù)活。

　　有一個(gè)簡(jiǎn)單的方法可以清除這個(gè)程序，通過定位此文件的PE頭，將IMAGE_NT_HEADERS->SubSystem改為IMAGE_SUBSYSTEM_NATIVE

　　即將這個(gè)程序修改為一個(gè)驅(qū)動(dòng)/NATIVE程序，由于services.exe無法啟動(dòng)此程序，這個(gè)升級(jí)程序就無法繼續(xù)工作了，同時(shí)也不會(huì)復(fù)活或被重生。

　　再分析一下暴風(fēng)影音的最新版本

　　簽名日期：2009年5月25日 22:11:57

　　版本：3.9.5.29

　　經(jīng)過分析可以發(fā)現(xiàn)，5月8日簽名版本（版本號(hào)：3.9.5.15）的相應(yīng)功能都仍存在。

　　區(qū)別在于：其死循環(huán)獲取download.baofeng.com域名的代碼(ForeverLoopGetHost)改為了每隔30分鐘獲取一次。

　　而且在每次獲取時(shí)有一些比較復(fù)雜的邏輯，而不是單純地調(diào)用系統(tǒng)API gethostbyname來獲取，可能是用于流量控制。

圖片2

圖片3

圖片5

圖片6

圖片7