[图10] 暴风影音客户端升级程序代码片断
exmat.ini文件内容如图11所示。
[图11] 广告列表文件内容
经过分析, 可判定该文件为广告列表,见图12。广告列表相关文件中未发现可执行程序。从其对下载内容的解析机制看,并未发现其他第三方程序的功能片断。
[图12] 下载广告内容
结合以上对stormliv.exe的动态、静态分析,该程序主要用于升级和广告下载,初步判断该程序中并未发现提供可以对系统远程控制以及获取系统敏感数据的功能片断,且具备可见性,不符合安天对于后门程序的定义条件。
从其关联行为来看,尚未发现 “复制自身或衍生文件到系统目录”、“ 修改系统文件”、“隐藏自身”、“窃取用户键盘输入”、“窃取用户重要文件”、“窃取用户屏幕显示内容”及“下载执行恶意代码”等行为。虽然有“添加到系 统启动项”、“连接网络发送、下载文件”行为,但仅凭这两点无法将其判定为后门程序。
七、 行为对比
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
八、 代码流程对比
略,详见原文(http://www.antiy.com/cn/security/2009/stormliv200905.htm)
九、 结论
通过以上分析,可初步得出以下几点结论:
1 暴风影音Stormliv.exe程序是具有升级、下载广告并开机启动的服务程序。该程序会下载更新暴风影音的程序和配置文件,并根据广告下载列表下载相应的广告数据包。此外,该程序可以回传不可播放的影音文件信息。
2 暴风影音Stormliv.exe在执行时无隐藏自身情况,也未发现令主机“通过网络被远程控制的”功能片段。同时没有“复制自身或衍生文件到系统目录 ”、“ 修改系统文件”、“隐藏自身”、“窃取用户键盘输入”、“窃取用户重要文件”、“窃取用户屏幕显示内容”及“下载执行恶意代码”等关联行为,不满足后门程 序的判断条件。
基于上述分析我们最终对暴风客户端“后门"事件初步判定如下, Stormliv.exe具有开机启动及升级、下载广告行为,但基本上可以判定其不是控制用户计算机的后门程序。
说明:
安天2009年5月27日接到用户委托进行分析, 2009-5-28发布第一版,时间所限可能有疏漏请大家指正。
安天公开发布此报告是为了澄清安天产品用户的质疑,同时作为专业安全企业,对于公众关心的安全问题进行客观、全面、深入地分析并给出相应客观评价是我们的职责。
