暴风影音客户端升级程序分析报告

一、 事件描述
2009年5月19日，暴风影音域名服务器所在机房被安全攻击，使其客户端升级程序无法正常访问域名服务器，从而间接导致全国多处网络不能正常访问。该事件引起一些关联的猜测和假想，亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。
安天于5月27日收到用户委托，对stormliv.exe的行为安全性进行了初步分析，并根据目前的分析情况撰写此报告。
二、 后门的相关背景知识
后门，本意是指房间背后的可以自由出入的门，是相对于“前门”而产生的。在计算机安全领域特指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的安全方法。
后门的出现可以追溯到计算机出现的早期，那时的计算机系统操作人员为了方便自己对主机系统的使用，有时会在系统中留下一个特殊的用户或程序，即使管理员修改了密码也不能阻止其再次登录并使用主机资源。
1998年，安全组织死牛祭祀发布了Windows9x平台的后门程序BO、后又发布了BO2K，该组织开放了相关程序的源码，带动了NETBUS、NETSPY等关联后门的大量产生。至此，后门在安全领域更多的成为反病毒领域的专有名称，作为一个独立的恶意代码分类出现。在全球TOP 20的反病毒厂商中，有11家将后门作为病毒命名中一级分类使用。
什么样的样本被判定为后门，安天《恶意代码分类标准（CERT-0514）》后门的定义如下：
对后门的有关判定如下，后门是在运行后，能造成运行主机被攻击者全部或者部分的远程控制，且不能满足程序的正常可感知性的一种恶意代码。
根据该定义，“远程控制”+“不可感知”系判定后门程序的根本条件。在上述文档中，安天对的远程控制行为作了如下说明：
远端直接操作受害主机键盘、鼠标或其它外设的行为。
远端对受害主机屏幕图像的获取行为。
远端能够呈现受害主机文件结构列表，并可以获取列表内任意文件的行为。
远端制造shell，可以使远端操作者执行主机自身命令集，或者自定义命令集的。
远端能够发布批量指令给受害主机，且指令定义具有明确的威胁主机或者网内其他主机安全的行为。
其他的造成受害主机可以被控制者交互操作或者批量控制的行为。
在安天的分类命名的优先级为：蠕虫>感染式病毒>后门>安全>安全工具>广告色情件>其他敏感程序。
即如果具有后门的核心行为特性，但也具有自我复制能力的划分为蠕虫类别，具有注入其他宿主文件能力的归为感染式病毒类别。
后门程序所以使用“远程控制”+“不可感知性”作为两个定性原则，是为了将后门与PCANYWHARE、VNC、远程桌面等远程管理工具进行区分。