一、 事件描述

　　2009年5月19日，暴风影音域名服务器所在机房被黑客攻击，使其客户端升级程序无法正常访问域名服务器，从而间接导致全国多处网络不能正常访问。该事件引起一些关联的猜测和假想，亦有媒体根据暴风影音的客户端升级程序的某些表现猜测stormliv.exe是一个后门程序。

　　安天于5月27日收到用户委托，对stormliv.exe的行为安全性进行了初步分析，并根据目前的分析情况撰写此报告。

　　二、 后门的相关背景知识

　　后门，本意是指房间背后的可以自由出入的门，是相对于“前门”而产生的。在计算机安全领域特指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的黑客方法。

　　后门的出现可以追溯到计算机出现的早期，那时的计算机系统操作人员为了方便自己对主机系统的使用，有时会在系统中留下一个特殊的用户或程序，即使管理员修改了密码也不能阻止其再次登录并使用主机资源。

　　1998年，黑客组织死牛祭祀发布了Windows9x平台的后门程序BO、后又发布了BO2K，该组织开放了相关程序的源码，带动了NETBUS、NETSPY等关联后门的大量产生。至此，后门在安全领域更多的成为反病毒领域的专有名称，作为一个独立的恶意代码分类出现。在全球TOP 20的反病毒厂商中，有11家将后门作为病毒命名中一级分类使用。

　　什么样的样本被判定为后门，安天《恶意代码分类标准(CERT-0514)》后门的定义如下：

　　对后门的有关判定如下，后门是在运行后，能造成运行主机被攻击者全部或者部分的远程控制，且不能满足程序的正常可感知性的一种恶意代码。

　　根据该定义，“远程控制”+“不可感知”系判定后门程序的根本条件。在上述文档中，安天对的远程控制行为作了如下说明：

　　远端直接操作受害主机键盘、鼠标或其它外设的行为。

　　远端对受害主机屏幕图像的获取行为。

　　远端能够呈现受害主机文件结构列表，并可以获取列表内任意文件的行为。

　　远端制造shell，可以使远端操作者执行主机自身命令集，或者自定义命令集的。

　　远端能够发布批量指令给受害主机，且指令定义具有明确的威胁主机或者网内其他主机安全的行为。

　　其他的造成受害主机可以被控制者交互操作或者批量控制的行为。

　　在安天的分类命名的优先级为：蠕虫>感染式病毒>后门>木马>黑客工具>广告色情件>其他敏感程序。

　　即如果具有后门的核心行为特性，但也具有自我复制能力的划分为蠕虫类别，具有注入其他宿主文件能力的归为感染式病毒类别。

　　后门程序所以使用“远程控制”+“不可感知性”作为两个定性原则，是为了将后门与PCANYWHARE、VNC、远程桌面等远程管理工具进行区分。

　　另外，安天对于后门程序的定性，还有如下补充约定：

　　对于远程管理工具除符合可见性约定之外，至少要具备以下3点之一，方不被判定为后门，运行后具有托盘图标或者标明程序功能的启动界面、控制过程通过界面消息告知控制主机的前台用户、软件可以被正常卸载。

　　除具备关键行为特点的后门程序，其配套的配置、远程管理程序和插件，作为同名后门被检测。

　　远程管理工具如果经过加工与修改，导致原有的用户感知特性被破坏。则作为后门处理。

　　正常的shell程序，如果被攻击者进行场景构造，造成原有安全体系被破坏，而成为直接控制通道的，则作为后门处理。

　　三、 对样本的排查分类定性过程。

　　安天采用核心行为排查表来确认恶意代码分类，其局部如下：　

　　安天对感知特性的排查表格如下：　

　　安天样本可感知性判定表(局部)

　　安天技术标准约定，具备A1或A2特性且具备A3特性的，即认定具有静态9 7 3 1 2 3 4 5 4 8 :

本文来源：华军资讯 作者：厂商投递