某能源企業(yè)部署NGTP解決方案，成功檢測出特種木馬，避免了嚴重的信息泄露事件發(fā)生。

1.檢測結(jié)果

NGTP解決方案中的維系分析模塊TAC，對這個特種木馬進行了截獲。下面的報告是TAC進行回放分析的報告截圖，通過報告可以看出，此特種木馬具有高威脅，TAC的靜態(tài)檢測引擎，分析出這個文件中包含了Shellcode特征。

2.惡意軟件分析

crash.m3u是利用CVE-2009-1330漏洞的惡意文件，雖然這是一個2009年的老漏洞，但是防病毒軟件卻對這種特種木馬無法檢測。惡意文件的原理是使音頻處理工具造成緩沖區(qū)溢出，攻擊者獲得系統(tǒng)控制權(quán)限，打開了一個網(wǎng)絡(luò)端口5555，可以遠程登錄。下圖描述了這一情形。

特種木馬雖然利用了老漏洞，惡意文件中帶有漏洞利用代碼，但防病毒軟件無法將其檢測。一方面，說明了傳統(tǒng)的基于簽名技術(shù)的安全防御手段的不足，另一方面也證明了NGTP解決方案的價值，是新一代威脅檢測和防御的有力保障。