隐藏，设置完毕后创建病毒进程，休眠200ms后结束原病毒进程，该病毒会连接一个IRC服务器，等待接收服务器发送的响应指令，受感染的用户会造成网络丢包现象。 该后门程序接受IRC频道远程控制，对目标主机实现任意操作。

　　定性依据：该程序提供了批量远程命令执行的能力，且不满足程序可感知性因此被判定为后门。该程序的伴随行为包括“复制自身到系统目录”、“添加到系统启动项”、“隐藏自身”、“修改关键系统文件”、“连接网络发送、下载文件”等，可判断为后门程序。

　　4、PcClient(Backdoor/Win32.Hupigon.afjm )

　　描述信息

　　该病毒为后门类程序，运行后衍生病毒文件到系统目录以及附属目录下;修改注册表创建服务，截取键盘操作信息，记录到系统目录下，连接网络向服务器发送消息，病毒运行完毕后删除自身。

　　该程序提供了通过反向连接方式进行远程控制的行为，且不满足程序可感知性，因此被判定为后门。该程序的伴随行为包括“衍生文件到系统目录”、“添加到系统启动项”、“隐藏自身”、“窃取用户键盘输入”、“连接网络发送、下载文件”等，可判断为后门程序。

　　六、 暴风影音客户端升级程序分析

　　安天应急处理中心的反病毒工程师对媒体反映可能为后门程序的暴风影音声级程序stormliv.exe进行了初步的动、静态分析。

　　暴风影音客户端升级程序(stormliv.exe)的描述信息如下，参见图2：

　　文件名称: stormliv.exe

　　文件大小: 582 KB (596,064 字节)

　　文件时间: 2009-04-21 12:01:44

　　文件 MD5: AA88EFCC10091255529DB5A125CCD326

　　文件 CRC: 8CD96E26

　　开发工具: Microsoft Visual C++ 6.0

　　加壳工具: 无

　　版本：3.9.4.17

　　数字签名: 有　

　　stormliv.exe具有数字签名和正常版本信息，同时在手动运行时将弹出对话框，这一点是符合安天关于文件静态可见性的规范的，同时未使用进程、服务、端口隐藏技术，也符合动态可见性规范。如图3。　　

　　[图3] 暴风影音客户端升级程序运行界面

　　根据对网络舆论的分析，对暴风升级程序的“后门”质疑主要来自其开机自动运行和进行网络通讯、升级等行为。

　　对于相关行为的实现及是否具有后门特性，我们进行了进一步分析：

　　stormliv.exe确实通过创建服务实现自动运行，见图4。　

　　[图4] 暴风影音客户端升级程序创建服务(Atool截屏)

　　stormliv.exe使用UDP协议实现各程序模块进程间通讯，见图5。　

　　[图5] 暴风影音客户端升级程序网络状态(Atool截屏)

　　stormliv.exe在运行时，发现一个名为meedb.dll的动态链接库会创建用户态钩子。但经过分析确认，其功能应为用于光盘驱动器区码匹配控制和渲染引擎控制，符合媒体播放软件的正常使用需要，初步判定不是用于“窃取用户键盘记录”，见图6。　

　　[图6] 暴风影音客户端升级程序用户态钩子

　　通过对stormliv.exe的反汇编分析，可以发现其主要功能包括：

　　1. 程序升级功能(检查版本更新，更新程序)

　　从图7所示的暴风影音客户端升级程序代码片断可以看出，stormliv.exe通过检测配置文件storm_ctrl.ini(http://download.baofeng.com/stormII/storm_ctrl.ini)判断是否有新版本程序存在，若该文件不存在，则将显示错误信息。该文件将在使用后被删除。　

　　[图7] 暴风影音客户端升级程序代码片断

　　2.回传无法播放文件的服务程序

　　从图9所示的暴风影音客户端升级程序代码片断可以看出，stormliv.exe用户选择提交不可播放文件时(见图8)，无法播放的文件将通过http://noplay.baofeng.com的9 7 3 1 2 3 4 5 4 8 :

本文来源：华军资讯 作者：厂商投递