卡巴斯基实验室近期截获到一种名为Trojan-Downloader.Win32.Banload.brxn的下载器木马。该木马能够利用某款解压缩软件的dll加载漏洞,感染系统。
此木马可以利用HaoZipUpdate.exe加载DLL漏洞加载恶意程序。首先会将自身加密数据解密,从地址00407030开始,长度为2800h,解密方法为异或9Dh,减去71h,异或7Ch,解密出恶意DLL,恶意DLL伪造了正常HaoZip.dll的导出函数名。然后会执行第二次解密,从地址00409830开始,长度为0F0C8h,解密方法为异或96h,减去71h,异或7Ch,解密出正常的HaoZipUpdate.exe。最后通过获取shell32.dll的ShellExecute函数执行HaoZipUpdate.exe。由于HaoZipUpdate.exe存在加载DLL漏洞,会不加判断加载被伪造的恶意DLL,使得一个正常程序加载恶意程序,躲避杀毒软件的查杀。
被加载的恶意DLL会自动连接网络,下载一个名为lmlj.html的文件。该文件是一种盗取支付信息的木马,卡巴斯基产品可以查杀,名称为Trojan-PSW.Win32.Alipay.ox。
卡巴斯基实验室发现该软件漏洞后,第一时间通知了该软件开发者。截止本文发稿时,该解压缩软件已经修复这一漏洞,广大用户可以放心使用。同时,卡巴斯基所有安全产品也均可以对该木马进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。卡巴斯基实验室同时提醒广大网友,对于来源不明的文件,一定不要轻易打开,以免感染恶意程序造成损失。
本文来源:天空软件 作者:佚名