暴风影音程序分析过程

　　利用其中的启发预警功能，并设置好文件预警过滤，启动监听文件为风暴影音的安装文件，发现其在安装时会访问如下IP地址的80端口：

　　程序 IP 端口

　　StormII_244.exe 60.28.15.178 80

　　StormII_244.exe 60.28.15.178 80

　　StormII_244.exe 60.28.15.176 80(图一)

　　注：StormII_244.exe为安装文件，正常端口值为WEB估计是为了刷流量，安装完成后自动添加注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 创建了子键: "ccosm"并在服务里面添加：CCOSM，地址为：c:\program files\stormii\stormliv.exe(看样子是个升级文件)。(图二)

　　安装后：stormliv.exe文件，(即使用系统服务启动的)监听UDP 1377 端口，当主文件启动后监听UDP 11377 端口。(注：每次安装所监听的端口都不一样)(图三)虽然stormliv.exe文件并没有进行加壳，但加了花指令，通过OD跟踪得出如下网络地址：

　　"http://active.baofeng.com/active2?pid=%d&id=%d"(打开后网页只一个400，)

　　"http://download.baofeng.com/stormII/storm_ctrl"(找不到)

　　"http://www.baofeng.com"(官方)

　　http://active.baofeng.com/active2?pid=%d&id=%d&uid=%s&t=%d&v=%s&idate=%s(打开后仍然是400)

　　当程序完成所有安装后，得出随机启动的tormliv.exe(图四)。

　　分析疑问

　　疑问的是这个地方E:\baofeng\SRC\ccosm\SecurityDescriptor.cpp"在程序中多处出现，安装文件并没有安装在C盘，但程序却老查找E盘。

　　编者按：虽然系统启动项中并没有相关信息，但由于该程序属于服务形式，用户可以通过打开运行窗口，输入services.msc并确认，找到Contrl Center of Storm Media直接禁用就可以了，关闭以后暴风影音使用正常。