断网与黑客无关 我来抖一抖狂风那点见不得人的猫腻(转载)
断网与黑客无关 我来抖一抖狂风那点见不得人的猫腻收躲
那几天看新闻,发现狂风七搞八搞,竟然包拆成了5.19断网的受害者,传闻现实上是狂风被ZF封杀,在新版本发布前,禁绝供给旧版本的下载,成果搞成了什么“召回”。然后就是一帮弱智媒体跟着瞎起哄,看得我牙都笑掉了。哄谁哪?圈里谁不晓得狂风是怎么回事?说白了就是一款高程度的地痞软件,或者痛快喊间谍软件。略微动动脑子就大白了,假设不是上亿用户的狂风自己有什么猫腻,几个小黑客怎么可能搞出那么大动静?
前几天翘班在家,闲着没事把GF条记本上的狂风逆向了一下,成果发现了一个名喊stormliv的后台历程,每20秒主动轮询一次狂风的告白办事器,说白了就是狂风让它的1.2亿用户的电脑主动往点它的告白,用虚假点击骗告白主的钱,但是身手不精,成果搞成了一个死轮回,大量地占用dns资本,即使没有此次黑客进攻,变成大祸也是迟早的事。
更蹊跷的是,我又测了一个519断网后,狂风25号发的一个新版本,那个版本里,招致断网的那些猫腻竟然还都在!stormliv的死轮回轮询机造底子没往掉,只是把轮询时间改得间隔长了一点,用了一些更冗杂更隐蔽的逻辑,仍然是在在后台偷偷运行,并且删除后还会从头生成,办事删除或制止后也会新生,通俗人底子清不掉。
最cao蛋的是那软件在开机时,会通过办事项强行自启动,一般人底子关不掉那个开机启动项,占用内存不说,关键是把开机速度搞得巨慢(我把狂风卸了后,觉得本本的速度有明显提拔)。就算把软件整个关掉了,还会驻留在内存里后台运行,卸也很难卸清洁,别的还会骚乱其他视频播放软件联系关系视频文件,那不是地痞是什么?
在坛子里混那么多年,历来都是潜水,此次是在受不了了,赤膊上阵,发个童贞贴,说得不合错误的,期看各人包容。
先阐发一下狂风5月8日版本。
阐发目标:stormliv.exe
一.静态特征:
版本:3.9.5.15
数字签名:有 [北京狂风网际科技有限公司 ]
签名时间:2009年5月8日 11:06:16
大小: 596,064 字节
编译日期:20009年5月8日 03:05:38(GMT)
CheckSum:A1192
编译东西: Mircosoft Visual C++ 6.0
加壳:无
运行界面:有,如图1
二.动态特征
1.启动和庇护:
stormlive.exe通过办事实现开机自启动,并且此办事不克不及被删除、禁用、停行,假设删除或停用或制止,下次再次运行狂风影音主法式storm.exe 会主动恢复。
2.端口侦听:
此历程被用于狂风影音多历程通信,利用开启当地端口侦听,UDP协议实现。
监听UDP 1025 5357等端口,实现Stline(狂风盒子) ,stormlive和storm.exe间通信
3.用户态钩子
stormlive.exe启动后,其meedb.dll会HOOK DeviceIoControl ,RegQueryValueA,RegQueryValueExW,CoCreateInstance 等函数
次要是用于过滤DVD区码掌握(IOCTL_DVD_GET_REGION )和一些COM接口掌握。
三.stormlive次要功用阐发:
1.狂风影音主动晋级功用
stormlive会主动毗连 hxxp://download.baofeng.com/stormII/storm_ctrl.ini 文件
那是一个通俗的晋级设置装备摆设文件。
目前内容如下,能够看到有最新版本、晋级URL、能否强逼晋级、能否提醒用户、提醒用户信息等设置装备摆设内容
[SERVER]
version=3.09.06.10
url=
force=0
alert=0
info="狂风影音有新版\n\n,已更新至3.09.06.10"
[EXPERT]
lib=
url=
晋级部门逆向代码:如图2
2.信息统计:
目前发现可能毗连下面那些地址来获取信息、或者回传统计,没发现涉及用户隐私或者系统设置装备摆设信息等。
hxxp://active.baofeng.com/active2?pid=%did=%duid=%st=%dv=%si
用户活动信息,包罗安拆日期,UID,ID等信息。
逆向代码:如图3
hxxp://areacode.baofeng.com:8081/adp/custom/;action=get_city_code
那个似乎是用来查询当前城市代码的,可能告白弹出需要。
hxxp://bukebo.baofeng.com/upload/talks.do?talkMd5=%stalkVersion=
hxxp://midInfo.baofeng.com/mid/downSucc.html?ver=%spl_id=%s
MID统计信息,上传版本和MID
hxxp://midsd.baofeng.com/p2p/seed?name=
获取P2P种子信息,stormlive.exe似乎在晋级时利用了P2P手艺。
3.不成播放文件回传。如图4
当狂风影音发现不成播放文件时,会通过stormlive.exe,毗连:hxxp://noplay.baofeng.com:9000/upload/upload.do来上传那个文件的部门片段。
那也是一个有界面的功用,只要用户手动抉择不再主动提醒,才会后台寂静上传。
逆向代码如下:如图5
4.下载告白
stormlive.exe会毗连download.baofeng.com,筹算下载一个exmat.ini,此中包罗了告白信息。
告白链接都是一个个ZIP压缩包,但此中未包罗可施行法式。
逆向代码:如图6
此中鄙人载告白时,可能是为了绕过某些平安软件或anti-ad软件对其的封锁,没有摘用HOSTS文件中的设置装备摆设,而是自行获取download.baofeng.com的域名,并且会在一个死轮回中每隔20000 毫秒(20秒)发送一次DNS查询包。
那段代码可能是招致此次断网门的首恶祸首。
逆向代码如下:如图7
能够看到,假设对download.baofeng.com的gethostbyname挪用失败,会每隔20秒从头获取一次,曲到获取胜利为行。
如许每小时就会发送数百个查询包,乘上狂风的用户量,数量之大十分恐惧。
四.肃清办法
狂风影音新版共有3个没需要存在的历程:
1.stormpop.exe 用于弹出告白。
2.stline.exe 狂风盒子,也是告白和选举等。
3.stormlive.exe 前述的晋级、回传客户端。
此中前两个间接删除即可肃清掉。
最初一个删除后还会从头生成,办事删除或制止后也会新生。
有一个简单的办法能够肃清那个法式,通过定位此文件的PE头,将IMAGE_NT_HEADERS-SubSystem改为IMAGE_SUBSYSTEM_NATIVE
即将那个法式修改为一个驱动/NATIVE法式,因为services.exe无法启动此法式,那个晋级法式就无法陆续工做了,同时也不会新生或被重生。
再阐发一下狂风影音的最新版本
签名日期:2009年5月25日 22:11:57
版本:3.9.5.29
颠末阐发能够发现,5月8日签名版本(版本号:3.9.5.15)的响应功用都仍存在。
区别在于:其死轮回获取download.baofeng.com域名的代码(ForeverLoopGetHost)改为了每隔30分钟获取一次。
并且在每次获取时有一些比力冗杂的逻辑,而不是单纯地挪用系统API gethostbyname来获取,可能是用于流量掌握。
本文来自CSDN博客,转载请标明出处: