暴风影音客户端升级程序分析报告

admin管理员组

文章数量:1530845

2024年7月18日发(作者：)

暴风影音客户端升级程序分析报告

暴风影音客户端升级程序分析报告

安天实验室

文档信息

作者

背景介绍

安天实验室安全研究

与应急处理中心

(Antiy CERT)

发布日期

2009/05/28

2009年5月19日，发生了多个省市大规模的断网事件。后证实，

该事件是由于一个DNS解析、加速服务商遭到攻击，而使用该服

务的互联网播放产品暴风影音，因在DNS解析上存在代码编写失

误，产生大量连接数据导致网络基础设施饱和。为避免有关其他厂

商重蹈覆辙，安天分析人员，撰写发布了分析报告

本文版权属于安天实验室所有。本着开放共同进步的原则，允许以

非商业用途使用自由转载。转载时需注明文章版权、出处及链接，

并保证文章完整性。以商业用途使用本文的，请联系安天实验室另

做授权。联系邮箱：resource@ 。

版权说明

©安天实验室 版权所有 第1页 / 共20页

暴风影音客户端升级程序分析报告

暴风影音客户端升级程序分析报告

安天实验室安全研究与应急处理中心(Antiy CERT)

一、 背景介绍

2009年5月19日，发生了多个省市大规模的断网事件。后证实，该事件是由于一个DNS解析、加速

服务商遭到攻击，而使用该服务的互联网播放产品暴风影音，因在DNS解析上存在代码编写失误，产生

大量连接数据导致网络基础设施饱和。

为避免有关其他厂商重蹈覆辙，安天分析人员，撰写发布了分析报告，对暴风程序中的实现错误进行

了解析。但之后，有关网络媒体专题提出了暴风程序“后门”论，引发了网上更多的讨论。

而安天认为关于后门的定义是反病毒业界提出，并已经形成确定的概念的，其判定权属于反病毒企业

和相关的信息安全管理机构。媒体从泛道德角度批判，但滥用反病毒专业领域技术术语是安天不能接受的。

因此，安天再次更新了报告，就后门问题作了介绍。

安天一贯认为，尽管安全厂商易于从网络民粹主义和阴谋论中获益，但网络安全领域是一门严肃的科

学技术，一切需要从论证和实据出发。

二、 事件描述

2009年5月19日，暴风影音域名服务器所在机房被黑客攻击，使其客户端升级程序无法正常访问域

名服务器，从而间接导致全国多处网络不能正常访问。该事件引起一些关联的猜测和假想，亦有媒体根据

暴风影音的客户端升级程序的某些表现猜测是一个后门程序。

安天于5月27日收到用户委托，对的行为安全性进行了初步分析，并根据目前的分析情

况撰写此报告。

三、 后门的相关背景知识

后门，本意是指房间背后的可以自由出入的门，是相对于“前门”而产生的。在计算机安全领域特指

绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的黑客方法。

后门的出现可以追溯到计算机出现的早期，那时的计算机系统操作人员为了方便自己对主机系统的使

用，有时会在系统中留下一个特殊的用户或程序，即使管理员修改了密码也不能阻止其再次登录并使用主

机资源。

1998年，黑客组织死牛祭祀发布了Windows9x平台的后门程序BO、后又发布了BO2K，该组织开放

了相关程序的源码，带动了NETBUS、NETSPY等关联后门的大量产生。至此，后门在安全领域更多的成

为反病毒领域的专有名称，作为一个独立的恶意代码分类出现。在全球TOP 20的反病毒厂商中，有11家

将后门作为病毒命名中一级分类使用。

什么样的样本被判定为后门，安天《恶意代码分类标准（CERT-0514）》后门的定义如下：

©安天实验室 版权所有 第2页 / 共20页

暴风影音客户端升级程序分析报告

对后门的有关判定如下，后门是在运行后，能造成运行主机被攻击者全部或者部分的远程控制，且不

能满足程序的正常可感知性的一种恶意代码。

根据该定义，“远程控制”+“不可感知”系判定后门程序的根本条件。在上述文档中，安天对的远程

控制行为作了如下说明：

远端直接操作受害主机键盘、鼠标或其它外设的行为。

远端对受害主机屏幕图像的获取行为。

远端能够呈现受害主机文件结构列表，并可以获取列表内任意文件的行为。

远端制造shell，可以使远端操作者执行主机自身命令集，或者自定义命令集的。

远端能够发布批量指令给受害主机，且指令定义具有明确的威胁主机或者网内其他主机安全的行为。

其他的造成受害主机可以被控制者交互操作或者批量控制的行为。

在安天的分类命名的优先级为：蠕虫>感染式病毒>后门>木马>黑客工具>广告色情件>其他敏感程序。

即如果具有后门的核心行为特性，但也具有自我复制能力的划分为蠕虫类别，具有注入其他宿主文件

能力的归为感染式病毒类别。

后门程序所以使用“远程控制”+“不可感知性”作为两个定性原则，是为了将后门与PCANYWHARE、

VNC、远程桌面等远程管理工具进行区分。

另外，安天对于后门程序的定性，还有如下补充约定：

对于远程管理工具除符合可见性约定之外，至少要具备以下3点之一，方不被判定为后门，运行后具

有托盘图标或者标明程序功能的启动界面、控制过程通过界面消息告知控制主机的前台用户、软件可以被

正常卸载。

除具备关键行为特点的后门程序，其配套的配置、远程管理程序和插件，作为同名后门被检测。

远程管理工具如果经过加工与修改，导致原有的用户感知特性被破坏。则作为后门处理。

正常的shell程序，如果被攻击者进行场景构造，造成原有安全体系被破坏，而成为直接控制通道的，

则作为后门处理。

四、 对样本的排查分类定性过程。

安天采用核心行为排查表来确认恶意代码分类，其局部如下：

分类

病毒

病毒

病毒

蠕虫

前缀名称

Virus

Virus

Virus

Worm

修饰符

名称

核心行为

感染其他具有执行能力程序

感染MBR或BOOT

将自身放置于其他扇区，但通过技术手段使自身可

以伴随系统启动或者其他程序启动而加载

利用远端主机系统和应用层漏洞或者配置缺陷向远

是否发现

©安天实验室 版权所有 第3页 / 共20页

暴风影音客户端升级程序分析报告

端主机主动注入自身的

蠕虫

蠕虫

……

后门

Worm

Worm

Backdoo

r

Backdoo

r

Backdoo

r

Backdoo

r

Backdoo

r OT

威胁主机或者网内其他主机安全的行为。

……

能够主动通过电子邮件传播自身

能够本地复制自身，且可以导致通过移动介质传播

的

远端直接操作受害主机键盘、鼠标或其它外设的行

为。

远端对受害主机屏幕图像的获取行为。

远端能够呈现受害主机文件结构列表，并可以获取

列表内任意文件的行为。

远端制造shell，可以使远端操作者执行主机自身命

令集，或者自定义命令集的。

远端能够发布批量指令给受害主机，且指令定义具

B

有明确的

安天对感知特性的排查表格如下：

感知特性

静态可

感知性

静态可

感知性

静态可

感知性

动态可

感知性

动态可

感知性

动态可

感知性

动态可

©安天实验室 版权所有

编号

A1

具有原厂数字签名。

A2

VERSION信息中提供准确的发布厂商名称。

签名信息、VERSION信息、图标、文件名不具备蓄意制造用户混淆

的故意。

运行后文件可以被系统内置资源/文见管理器在默认配置下看到。

A3

B1

B2

运行如果有独立进程，则该进程在系统内置进程察看器中可见。

B3

B4

运行后如果启动服务，该服务在系统自带服务管理器中可见。

运行后如果开放端口，该端口在系统自带端口察看程序中可见，且不

第4页 / 共20页

暴风影音客户端升级程序分析报告

感知性

动态可

感知性

……

B5

得复用系统已经开放端口。

运行后如果增加、修改注册表，增加修改项在注册表管理器下可见。

安天样本可感知性判定表（局部）

安天技术标准约定，具备A1或A2特性且具备A3特性的，即认定具有静态可感知性，而在动态可感

知性中，违反任意一条，则认定不具备动态可感知性。

通过将上述表格中特性与样本的行为对位，安天即可做出是否为恶意代码以及恶意代码的分类判断。

一、 对照分析所选取的典型后门样本

后门程序除了用于定性的核心远程控制行为外，往往还伴随一些关联行为，如：

1. 复制自身或衍生文件到系统目录

2. 修改系统配置。

3. 实现开机自动

4. 隐藏自身

5. 连接网络发送、下载文件

6. 窃取用户键盘输入

7. 窃取用户重要文件

为清晰进一步说明后门的概念和行为，给用户一个更为直观的理解，Antiy CERT的反病毒工程师选取

了四种典型后门程序样本，并提供提供行为分析报告。

样本相关信息如表1所示，各样本文件图标见图1

常用名

称

灰鸽子

黑洞

2005

RBOT

病毒名称 样本文件MD5值

5C3BE8210DEEF401E1CF4A8623B06

8EE

55DB1CCB00BB8ED6AE58E3410668

59BF

16E0CBD4DA722129E17B87764AFC

6215

94469F5A95C3F9A7819EC79777A5E

1C2

Backdoor/

Backdoor/ole.2005.

f

Backdoor/

PcClient Backdoor/

[表1] 典型后门程序样本信息

©安天实验室 版权所有 第5页 / 共20页

暴风影音客户端升级程序分析报告

[图1] 典型后门样本文件信息

以下表格为各后门程序样本的病毒标签：

病毒名称

病毒类型

危害等级

文件长度

感染系统

开发工具

加壳类型

数字签名

Backdoor/

后门

4

266999

Windows98以上版本

未知

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping

无

[表2] 典型后门程序样本病毒标签

病毒名称

病毒类型

危害等级

文件长度

感染系统

开发工具

加壳类型

数字签名

Backdoor/ole.2005.f

后门

3

194272

Windows98以上版本

Borland Delphi 6.0 - 7.0

UPX 0.89.6 - 1.02 / 1.05 - 1.22 (Delphi) stub -> Markus & Lazlo

无

[表3] 典型后门程序样本病毒标签

病毒名称

Backdoor/

©安天实验室 版权所有 第6页 / 共20页

暴风影音客户端升级程序分析报告

病毒类型

危害等级

文件长度

感染系统

开发工具

加壳类型

数字签名

后门

4

385095

Windows98以上版本

Microsoft Visual C++ 5.0

无

无

[表4] 典型后门程序样本病毒标签

病毒名称

病毒类型

危害等级

文件长度

感染系统

开发工具

加壳类型

数字签名

Backdoor/

后门

4

65903

Windows98以上版本

Microsoft Visual C++ 5.0

无

无

[表5] 典型后门程序样本病毒标签

五、 典型后门样本行为分析

以下为对上述后门程序样本的动态分析，及相应的判断依据。

5.1 灰鸽子 (Backdoor/ )

5.1.1 描述信息：

该病毒为后门类程序，运行后，复制自身到%Program Files%Common FilesMicrosoft SharedMSINFO

目录下，重命名为，并将属性设置为隐藏。查找%system32%drivers目录下是否存在文件，

开启进程，加载，动态获取ZwUnmapViewOfSection函数，利用该函数获取当前进程

的基址，申请内存空间，将病毒代码写入进程中，创建病毒服务，以服务方式启动病毒文件，

病毒运行完毕后删除自身，自身克隆到系统进程来保护病毒进程，系统利用连接网络

进行通信，等待接收病毒作者发送的控制命令。

©安天实验室 版权所有 第7页 / 共20页

暴风影音客户端升级程序分析报告

5.1.2 定性依据：

该程序提供了通过反向连接方式进行远程控制的行为，且不满足程序可感知性因此被判定为后门。该

程序的伴随行为包括 “复制自身到系统目录”、“修改关键系统文件”、“添加到系统启动项”、“隐藏自身”、

“连接网络发送、下载文件”。

5.2 黑洞2005 （Backdoor/ole.2005.f ）

5.2.1 描述信息：

该病毒为后门类程序，运行后，衍生病毒文件到系统目录下，添加注册表自动运行项以随机引导病毒

体。感染用户可能被完全控制，进行上传、下载等操作。病毒会监测用户键盘输入，而后输出

到%system32%发送出去。该病毒还具有切断网络连接的能力。

5.2.2 定性依据：

该程序提供了开放目录遍历和访问以及文件双向交互操作的能力，且不满足程序可感知性因此被判定

为后门。该程序的伴随行为包括 “衍生文件到系统目录”、“添加到系统启动项”、“连接网络发送、下载文

件”、“窃取用户键盘输入”等，可判断为后门程序。

5.3 RBOT (Backdoor/ )

5.3.1 描述信息：

该病毒为后门类程序，图标伪装成图片诱惑用户点击，病毒运行后获取当前用户名，设置出错程序为

安静模式隐藏子进程的内存报错窗口，创建病毒互斥体防止病毒多次运行，拷贝自身文件到%System332%

目录下重命名为：“”，添加注册表启动项，将病毒文件添加到防火墙信任列表，达到运行

病毒之后防火墙不拦截目的，获取%Windir%目录下的文件的创建时间，将病毒文件的创建时

间与文件的创建时间同步，并将属性设置为只读、隐藏，设置完毕后创建病毒进程，休眠200ms

后结束原病毒进程，该病毒会连接一个IRC服务器，等待接收服务器发送的响应指令，受感染的用户会造

成网络丢包现象。 该后门程序接受IRC频道远程控制，对目标主机实现任意操作。

5.3.2 定性依据：

该程序提供了批量远程命令执行的能力，且不满足程序可感知性因此被判定为后门。该程序的伴随行

为包括“复制自身到系统目录”、“添加到系统启动项”、“隐藏自身”、“修改关键系统文件”、“连接网络发

送、下载文件”等，可判断为后门程序。

©安天实验室 版权所有 第8页 / 共20页

暴风影音客户端升级程序分析报告

5.4 PcClient（Backdoor/ ）

5.4.1 描述信息：

该病毒为后门类程序，运行后衍生病毒文件到系统目录以及附属目录下；修改注册表创建服务，截取

键盘操作信息，记录到系统目录下，连接网络向服务器发送消息，病毒运行完毕后删除自身。

5.4.2 定性依据：

该程序提供了通过反向连接方式进行远程控制的行为，且不满足程序可感知性，因此被判定为后门。

该程序的伴随行为包括“衍生文件到系统目录”、“添加到系统启动项”、“隐藏自身”、“窃取用户键盘输入”、

“连接网络发送、下载文件”等，可判断为后门程序。

六、 暴风影音客户端升级程序分析

安天应急处理中心的反病毒工程师对媒体反映可能为后门程序的暴风影音声级程序进行

了初步的动、静态分析。

暴风影音客户端升级程序（）的描述信息如下，参见图2：

文件名称:

文件大小: 582 KB (596,064 字节)

文件时间: 2009-04-21 12:01:44

文件 MD5: AA88EFCC1DB5A125CCD326

文件 CRC: 8CD96E26

开发工具: Microsoft Visual C++ 6.0

加壳工具: 无

版本：3.9.4.17

数字签名: 有

©安天实验室 版权所有 第9页 / 共20页

暴风影音客户端升级程序分析报告

具有数字签名和正常版本信息，同时在手动运行时将弹出对话框，这一点是符合安天关于

文件静态可见性的规范的，同时未使用进程、服务、端口隐藏技术，也符合动态可见性规范。

如图3。

[图3] 暴风影音客户端升级程序运行界面

根据对网络舆论的分析，对暴风升级程序的“后门”质疑主要来自其开机自动运行和进行网络通讯、

升级等行为。

对于相关行为的实现及是否具有后门特性，我们进行了进一步分析：确实通过创建服务实

现自动运行，见图4。

©安天实验室 版权所有 第10页 / 共20页

暴风影音客户端升级程序分析报告

[图4] 暴风影音客户端升级程序创建服务（Atool截屏）

使用UDP协议实现各程序模块进程间通讯，见图5。

[图5] 暴风影音客户端升级程序网络状态（Atool截屏）

在运行时，发现一个名为的动态链接库会创建用户态钩子。但经过分析确认，

其功能应为用于光盘驱动器区码匹配控制和渲染引擎控制，符合媒体播放软件的正常使用需要，初步判定

不是用于“窃取用户键盘记录”，见图6。

[图6] 暴风影音客户端升级程序用户态钩子

通过对的反汇编分析，可以发现其主要功能为：

©安天实验室 版权所有 第11页 / 共20页

暴风影音客户端升级程序分析报告

6.1 主要功能

6.1.1 程序升级功能（检查版本更新，更新程序）

从图7所示的暴风影音客户端升级程序代码片断可以看出，通过检测配置文件storm_

（/stormII/storm_）判断是否有新版本程序存在，若该文件不存在，则将

显示错误信息。该文件将在使用后被删除。

[图7] 暴风影音客户端升级程序代码片断

6.1.2 回传无法播放文件的服务程序

从图9所示的暴风影音客户端升级程序代码片断可以看出，用户选择提交不可播放文件时

(见图8)，无法播放的件将通过的9000端口回传。

©安天实验室 版权所有 第12页 / 共20页

暴风影音客户端升级程序分析报告

[图8] 不可播放文件提交界面

[图9] 暴风影音客户端升级程序代码片断

6.1.3 下载广告

从图10所示的暴风影音客户端升级程序代码片断可以看出，通过

下载文件。

©安天实验室 版权所有 第13页 / 共20页

暴风影音客户端升级程序分析报告

[图10] 暴风影音客户端升级程序代码片断

文件内容如图11所示。

[图11] 广告列表文件内容

经过分析， 可判定该文件为广告列表，见图12。广告列表相关文件中未发现可执行程序。从其对下

载内容的解析机制看，并未发现其他第三方程序的功能片断。

[图12] 下载广告内容

结合以上对的动态、静态分析，该程序主要用于升级和广告下载，初步判断该程序中并未

发现提供可以对系统远程控制以及获取系统敏感数据的功能片断，且具备可见性，不符合安天对于后门程

序的定义条件。

©安天实验室 版权所有 第14页 / 共20页

暴风影音客户端升级程序分析报告

从其关联行为来看，尚未发现 “复制自身或衍生文件到系统目录”、“ 修改系统文件”、“隐藏自身”、

“窃取用户键盘输入”、“窃取用户重要文件”、“窃取用户屏幕显示内容”及“下载执行恶意代码”等行为。

虽然有“添加到系统启动项”、“连接网络发送、下载文件”行为，但仅凭这两点无法将其判定为后门程序。

6.2 行为对比

将判定后门程序的基本依据及前面提到的典型后门程序常见行为特性分类归纳，并与暴风影音客户端

升级程序的主要行为列表对照比较，其结果见表6。

常见行为软件

典型后门

灰鸽子

Rbot PcClient

黑洞

2005

是

是

是

是

是

是

是

是

是

是

是

暴风影音

客户端升级程序

复制到系统目录

修改系统文件

添加系统启动项

关闭系统防火墙

隐藏自身

进程注入

连接网络

无界面显示

无版本信息

程序加壳

无数字签名

可执行文件路径

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

是

否

否

是

否

否

否

是

否

否

否

否

%syste

%syste%system%system%Program

m32% m32% 32% 32% Files%StormII

是

是

是

是

是

是

是

是

否

是

否

是

是

是

是

是

是

是

是

是

是

是

是

是

否

否

否

否

否

否

运行删除自身

远程控制系统

窃取键盘输入

窃取用户文件

窃取用户屏幕

下载执行恶意代码

[表6] 典型后门程序行为与暴风影音客户端升级程序行为比较

©安天实验室 版权所有 第15页 / 共20页

暴风影音客户端升级程序分析报告

同时需要说明的是，是否满足表中常见行为是定性后门程序的必要条件，而不是充分条件。比如，并

非“连接网络”的程序就一定是后门程序，该程序也可能是下载器型木马、蠕虫，甚至是浏览器、即时聊

天工具。同样，并非有数字签名的程序就一定不是后门程序，因为近年来Antiy CERT的病毒分析师已经

发现有伪造数字签名的恶意代码出现。

6.3 代码流程对比

通过对程序代码流程图的对比，也可以发现后门程序与正常应用程序之间的显著区别。这是因为后门

程序的作者在编写和传播后门程序的过程中，会使用比较简单的代码逻辑，或者尽量破坏代码的规范性，

以防止反病毒工程师对其进行逆向分析。但正常应用程序的作者并没有这样的顾虑，反而会尽量保证代码

的清晰和规范性，以便在程序出现问题的时候，更容易跟踪、调试。

从以下各个典型后门程序的IDA流程图中，可以很容易地看出，后门程序的代码主流程图相对简单，没

有太多的条件分支。但是，PcClient和灰鸽子的代码却很不规范，无法使用IDA获得其主流程图。

暴风影音客户端升级程序可以由IDA获得流程图，并采用了较为清晰的条件判断分支。

[图13] 后门程序样本代码流程（Rbot）

©安天实验室 版权所有 第16页 / 共20页

暴风影音客户端升级程序分析报告

[图14] 后门程序样本代码流程（黑洞2005）

[图15] 无法获得IDA流程图（PcClient）

©安天实验室 版权所有 第17页 / 共20页

暴风影音客户端升级程序分析报告

[图16] 无法获得IDA流程图（灰鸽子）

©安天实验室 版权所有 第18页 / 共20页

暴风影音客户端升级程序分析报告

[图17] 暴风影音客户端升级程序代码主流程

七、 结论

通过以上分析，可初步得出以下几点结论：

1. 暴风影音程序是具有升级、下载广告并开机启动的服务程序。该程序会下载更新暴

风影音的程序和配置文件，并根据广告下载列表下载相应的广告数据包。此外，该程序可以回传

不可播放的影音文件信息。

2. 暴风影音在执行时无隐藏自身情况，也未发现令主机“通过网络被远程控制的”功

能片段。同时没有“复制自身或衍生文件到系统目录”、“ 修改系统文件”、“隐藏自身”、“窃取用

户键盘输入”、“窃取用户重要文件”、“窃取用户屏幕显示内容”及“下载执行恶意代码”等关联

行为，不满足后门程序的判断条件。

基于上述分析我们最终对暴风客户端“后门"事件初步判定如下， 具有开机启动及升级、

下载广告行为，但基本上可以判定其不是控制用户计算机的后门程序。

八、 说明：

安天2009年5月27日接到用户委托进行分析， 2009-5-28发布第一版，时间所限可能有疏漏请大家

指正。

©安天实验室 版权所有 第19页 / 共20页

暴风影音客户端升级程序分析报告

安天公开发布此报告是为了澄清安天产品用户的质疑，同时作为专业安全企业，对于公众关心的安全

问题进行客观、全面、深入地分析并给出相应客观评价是我们的职责。

©安天实验室 版权所有 第20页 / 共20页

本文标签： 程序后门病毒升级文件