诺顿中国官人趣闻之“白加黑陷阱”篇

尘梦幽然

以下转自http://weibo.com/u/2540863132 @1989英雄不问出路

一个“病毒”作者，挑了一个属于迅雷的exe文件，然后构造一个“恶意的”dll，以及一个干净的bmp文件一起发布。由于这个dll的名字在exe的导入表中，exe运行之后它就会被加载，运行后它会把exe添加到开机自启动，然后从bmp里面解出一个PE。我差点把这个PE当成Backdoor.Trojan，仔细一看这个PE属于牛逼的TX公司，我想不通这是为什么，后来发现DLL里的一个字符串，我明白这是一场恶作剧。这个字符串是"sb.cao.ni.ma"。。。。。。明显是故意想让我误报，AV界太不好混了

看来，赛门铁克中国安全响应中心也已经能自主截获“白加黑”木马并能正常入库了。。但是说。。似乎他们（指整个赛门铁克）对这种新型的攻击方式还是不很熟悉的，因为似乎入库的情况在我们卡饭的测试来看不是太好。
看来我们需要给他来点“催化剂”，加速其成长。
对了，另，中文上报页面虽然操作界面是中文了，但是说后台依然不支持中文。我这几天连续上报样本后，有一次是人工回复，里面告诉我：

Chinese can not be displayed correctly in our system, please write your
notes in English next time.

更神的是，消停提供给我的白加黑木马2.rar这批样本中的HWSignature.dll还被发现与我早先上报的Tracking #25899121中的456Login.dll有联系：

The file 7(HWSignature.dll) will decrypt the
file(456Login.dll) you submitted in #25899121 and execute it. We have
detected the decrypted file as Backdoor.Ghostnet.

也就是说HWSignature.dll会解密456Login.dll执行恶意代码。
诺顿官人发飙了？连以前无解的木马之坟都给挖出来了？！想要知道两个样本提交之间的时间差，请看如下：8月31日上报样本，跟踪号码是Tracking #26080161，而被“挖坟”的跟踪号码是Tracking #25899121，因为Tracking号码是一号一号按顺序往下排的，所以，这个时间跨度够大了吧？Tracking #25899121的邮件都被我删得没影了，我基本忘记了。工程师记忆力真好啊。。
我这几天在和微博上的官人取得联系，不过似乎目前遇到的似乎和度轩差不多，看起来是负责文职工作的，对我的样本也是需要转交后才能入库。

Dust-;羅錠

国外的杀软对于白加黑还是要慢慢熟悉啊。

Kevin_Memo

但是以諾頓以往的風格只要是研究透了基本可以通吃……
可是我在想白加黑要怎麽提取特徵做到通吃呢……

尘梦幽然

Kevin_Memo 发表于 2012-9-1 12:42 但是以諾頓以往的風格只要是研究透了基本可以通吃…… 可是我在想白加黑要怎麽提取特徵做到通吃呢……

正在与这位工程师取得联系中……或许从他那能问出什么来。我的微博5个听众中，有4个是赛门铁克员工。

箜頩炣楽

还真是挖坟………不过这应该不是记忆力

尘梦幽然

箜頩炣楽 发表于 2012-9-1 16:00
还真是挖坟………不过这应该不是记忆力

求解：啥力啊？

嵩弦离合

恶作剧总是以各种情况恶作剧

尘梦幽然

嵩弦离合 发表于 2012-9-1 19:46
恶作剧总是以各种情况恶作剧

这是什么绕口令？！

嵩弦离合

尘梦幽然 发表于 2012-9-1 19:49
这是什么绕口令？！

新的绕口令

wjhstu-VxG

挺有趣的～