断网与黑客无关 我来抖一抖狂风那点见不得人的猫腻(转载)

断网与黑客无关 我来抖一抖狂风那点见不得人的猫腻收躲

　　那几天看新闻，发现狂风七搞八搞，竟然包拆成了5.19断网的受害者，传闻现实上是狂风被ZF封杀，在新版本发布前，禁绝供给旧版本的下载，成果搞成了什么“召回”。然后就是一帮弱智媒体跟着瞎起哄，看得我牙都笑掉了。哄谁哪？圈里谁不晓得狂风是怎么回事？说白了就是一款高程度的地痞软件，或者痛快喊间谍软件。略微动动脑子就大白了，假设不是上亿用户的狂风自己有什么猫腻，几个小黑客怎么可能搞出那么大动静？

　　前几天翘班在家，闲着没事把GF条记本上的狂风逆向了一下，成果发现了一个名喊stormliv的后台历程，每20秒主动轮询一次狂风的告白办事器，说白了就是狂风让它的1.2亿用户的电脑主动往点它的告白，用虚假点击骗告白主的钱，但是身手不精，成果搞成了一个死轮回，大量地占用dns资本，即使没有此次黑客进攻，变成大祸也是迟早的事。

　　更蹊跷的是，我又测了一个519断网后，狂风25号发的一个新版本，那个版本里，招致断网的那些猫腻竟然还都在！stormliv的死轮回轮询机造底子没往掉，只是把轮询时间改得间隔长了一点，用了一些更冗杂更隐蔽的逻辑，仍然是在在后台偷偷运行，并且删除后还会从头生成，办事删除或制止后也会新生，通俗人底子清不掉。

　　最cao蛋的是那软件在开机时，会通过办事项强行自启动，一般人底子关不掉那个开机启动项，占用内存不说，关键是把开机速度搞得巨慢(我把狂风卸了后，觉得本本的速度有明显提拔)。就算把软件整个关掉了，还会驻留在内存里后台运行，卸也很难卸清洁，别的还会骚乱其他视频播放软件联系关系视频文件，那不是地痞是什么？

　　在坛子里混那么多年，历来都是潜水，此次是在受不了了，赤膊上阵，发个童贞贴，说得不合错误的，期看各人包容。

　　先阐发一下狂风5月8日版本。

　　阐发目标：stormliv.exe

　　一.静态特征：

　　版本：3.9.5.15

　　数字签名：有 [北京狂风网际科技有限公司 ]

　　签名时间：2009年5月8日 11:06:16

　　大小： 596,064 字节

　　编译日期：20009年5月8日 03:05:38(GMT)

　　CheckSum:A1192

　　编译东西: Mircosoft Visual C++ 6.0

　　加壳：无

　　运行界面：有，如图1

　　二.动态特征

　　1.启动和庇护：

　　stormlive.exe通过办事实现开机自启动，并且此办事不克不及被删除、禁用、停行，假设删除或停用或制止，下次再次运行狂风影音主法式storm.exe 会主动恢复。

　　2.端口侦听:

　　此历程被用于狂风影音多历程通信，利用开启当地端口侦听，UDP协议实现。

　　监听UDP 1025 5357等端口，实现Stline(狂风盒子) ,stormlive和storm.exe间通信

　　3.用户态钩子

　　stormlive.exe启动后，其meedb.dll会HOOK DeviceIoControl ,RegQueryValueA,RegQueryValueExW,CoCreateInstance 等函数

　　次要是用于过滤DVD区码掌握(IOCTL_DVD_GET_REGION )和一些COM接口掌握。

　　三.stormlive次要功用阐发:

　　1.狂风影音主动晋级功用

　　stormlive会主动毗连 hxxp://download.baofeng.com/stormII/storm_ctrl.ini 文件

　　那是一个通俗的晋级设置装备摆设文件。

　　目前内容如下，能够看到有最新版本、晋级URL、能否强逼晋级、能否提醒用户、提醒用户信息等设置装备摆设内容

　　[SERVER]

　　version=3.09.06.10

　　url=

　　force=0

　　alert=0

　　info="狂风影音有新版\n\n，已更新至3.09.06.10"

　　[EXPERT]

　　lib=

　　url=

　　晋级部门逆向代码：如图2

　　2.信息统计:

　　目前发现可能毗连下面那些地址来获取信息、或者回传统计，没发现涉及用户隐私或者系统设置装备摆设信息等。

　　hxxp://active.baofeng.com/active2?pid=%did=%duid=%st=%dv=%si

　　用户活动信息,包罗安拆日期，UID,ID等信息。

　　逆向代码：如图3

　　hxxp://areacode.baofeng.com:8081/adp/custom/;action=get_city_code

　　那个似乎是用来查询当前城市代码的，可能告白弹出需要。

　　hxxp://bukebo.baofeng.com/upload/talks.do?talkMd5=%stalkVersion=

　　hxxp://midInfo.baofeng.com/mid/downSucc.html?ver=%spl_id=%s

　　MID统计信息，上传版本和MID

　　hxxp://midsd.baofeng.com/p2p/seed?name=

　　获取P2P种子信息，stormlive.exe似乎在晋级时利用了P2P手艺。

　　3.不成播放文件回传。如图4

　　当狂风影音发现不成播放文件时，会通过stormlive.exe,毗连:hxxp://noplay.baofeng.com:9000/upload/upload.do来上传那个文件的部门片段。

　　那也是一个有界面的功用，只要用户手动抉择不再主动提醒，才会后台寂静上传。

　　逆向代码如下：如图5

　　4.下载告白

　　stormlive.exe会毗连download.baofeng.com,筹算下载一个exmat.ini，此中包罗了告白信息。

　　告白链接都是一个个ZIP压缩包，但此中未包罗可施行法式。

　　逆向代码：如图6

　　此中鄙人载告白时，可能是为了绕过某些平安软件或anti-ad软件对其的封锁，没有摘用HOSTS文件中的设置装备摆设，而是自行获取download.baofeng.com的域名，并且会在一个死轮回中每隔20000 毫秒(20秒）发送一次DNS查询包。

　　那段代码可能是招致此次断网门的首恶祸首。

　　逆向代码如下：如图7

　　能够看到，假设对download.baofeng.com的gethostbyname挪用失败，会每隔20秒从头获取一次，曲到获取胜利为行。

　　如许每小时就会发送数百个查询包，乘上狂风的用户量，数量之大十分恐惧。

　　四.肃清办法

　　狂风影音新版共有3个没需要存在的历程：

　　1.stormpop.exe 用于弹出告白。

　　2.stline.exe 狂风盒子，也是告白和选举等。

　　3.stormlive.exe 前述的晋级、回传客户端。

　　此中前两个间接删除即可肃清掉。

　　最初一个删除后还会从头生成，办事删除或制止后也会新生。

　　有一个简单的办法能够肃清那个法式，通过定位此文件的PE头，将IMAGE_NT_HEADERS-SubSystem改为IMAGE_SUBSYSTEM_NATIVE

　　即将那个法式修改为一个驱动/NATIVE法式，因为services.exe无法启动此法式，那个晋级法式就无法陆续工做了，同时也不会新生或被重生。

　　再阐发一下狂风影音的最新版本

　　签名日期：2009年5月25日 22:11:57

　　版本：3.9.5.29

　　颠末阐发能够发现，5月8日签名版本（版本号：3.9.5.15）的响应功用都仍存在。

　　区别在于：其死轮回获取download.baofeng.com域名的代码(ForeverLoopGetHost)改为了每隔30分钟获取一次。

　　并且在每次获取时有一些比力冗杂的逻辑，而不是单纯地挪用系统API gethostbyname来获取，可能是用于流量掌握。

　　本文来自CSDN博客，转载请标明出处：