【IT168 专稿】面对如今网络中谈论最多的暴风影音，很多网民不知何去何从。虽然暴风影音3用户完美版来了，但其内含的的大量广告与安装时自带的插件，让新老用户大感意外，然尔在其影音内还困扰着用户的就是stormliv.exe进程问题，有人认为这是一种后门，而根据影音的官方解释其stormliv.exe只是媒体控制中心，其中包含了升级和检查本地解码是否正确的程序，而且这个进程也是为了更好的兼容vista系统需要而做的，笔者针对此程序作了一次安装分析。

　　超级巡警工具简介

　　笔者使用了超级巡警工具，超级巡警是一款用来自动解决如今泛滥的利用ROOTKIT的隐藏进程，隐藏文件，隐藏端口的各种HACKDEF、NTRootKit、灰鸽子、PCSHARE、FU RootKit、AFX RootKit之类的木马，解决基于各种启动方式：SVCHOST宿主加载，进程感染， SPI链挂接的各种后门，对抗各种加壳变形以及版权伪装的后门，流氓软件。提供非常有效的文件监控和注册表监控，其主要功能有：启发预警，启动管理，IE插件管理，SPI链自动检测与修复，服务管理，隐藏服务检测，过滤微软默认服务，服务增加删除，SSDT(服务描述表)恢复，检测隐藏端口，断开连接，定位远程IP，WHOIS 查询，关闭端口，进程管理，DLL模块强制卸载，全面扫描，内存扫描，目录扫描，信任列表，实时监控，智能升级。

　　暴风影音程序分析过程

　　利用其中的启发预警功能，并设置好文件预警过滤，启动监听文件为风暴影音的安装文件，发现其在安装时会访问如下IP地址的80端口：

　　程序 IP 端口

　　StormII_244.exe 60.28.15.178 80

　　StormII_244.exe 60.28.15.178 80

　　StormII_244.exe 60.28.15.176 80(图一)

　　注：StormII_244.exe为安装文件，正常端口值为WEB估计是为了刷流量，安装完成后自动添加注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 创建了子键: "ccosm"并在服务里面添加：CCOSM，地址为：c:\program files\stormii\stormliv.exe(看样子是个升级文件)。(图二)

　　安装后：stormliv.exe文件，(即使用系统服务启动的)监听UDP 1377 端口，当主文件启动后监听UDP 11377 端口。(注：每次安装所监听的端口都不一样)(图三)虽然stormliv.exe文件并没有进行加壳，但加了花指令，通过OD跟踪得出如下网络地址：

　　"http://active.baofeng.com/active2?pid=%d&id=%d"(打开后网页只一个400，)

　　"http://download.baofeng.com/stormII/storm_ctrl"(找不到)

　　"http://www.baofeng.com"(官方)

　　http://active.baofeng.com/active2?pid=%d&id=%d&uid=%s&t=%d&v=%s&idate=%s(打开后仍然是400)

　　当程序完成所有安装后，得出随机启动的tormliv.exe(图四)。

　　分析疑问

　　疑问的是这个地方E:\baofeng\SRC\ccosm\SecurityDescriptor.cpp"在程序中多处出现，安装文件并没有安装在C盘，但程序却老查找E盘。

　　编者按：虽然系统启动项中并没有相关信息，但由于该程序属于服务形式，用户可以通过打开运行窗口，输入services.msc并确认，找到Contrl Center of Storm Media直接禁用就可以了，关闭以后暴风影音使用正常。