天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

卡巴斯基提醒:警惕木马利用解压缩软件加载

2012-2-15天空软件佚名
p>         恶意程序为了感染系统,不惜使用各种手段。大多时候,恶意程序会伪装成良性程序,诱惑用户点击,但也有部分恶意程序,会利用用户计算机系统或应用软件的漏洞,伺机加载。

         卡巴斯基实验室近期截获到一种名为Trojan-Downloader.Win32.Banload.brxn的下载器木马。该木马能够利用某款解压缩软件的dll加载漏洞,感染系统。

         此木马可以利用HaoZipUpdate.exe加载DLL漏洞加载恶意程序。首先会将自身加密数据解密,从地址00407030开始,长度为2800h,解密方法为异或9Dh,减去71h,异或7Ch,解密出恶意DLL,恶意DLL伪造了正常HaoZip.dll的导出函数名。然后会执行第二次解密,从地址00409830开始,长度为0F0C8h,解密方法为异或96h,减去71h,异或7Ch,解密出正常的HaoZipUpdate.exe。最后通过获取shell32.dll的ShellExecute函数执行HaoZipUpdate.exe。由于HaoZipUpdate.exe存在加载DLL漏洞,会不加判断加载被伪造的恶意DLL,使得一个正常程序加载恶意程序,躲避杀毒软件的查杀。

         被加载的恶意DLL会自动连接网络,下载一个名为lmlj.html的文件。该文件是一种盗取支付信息的木马,卡巴斯基产品可以查杀,名称为Trojan-PSW.Win32.Alipay.ox。

         卡巴斯基实验室发现该软件漏洞后,第一时间通知了该软件开发者。截止本文发稿时,该解压缩软件已经修复这一漏洞,广大用户可以放心使用。同时,卡巴斯基所有安全产品也均可以对该木马进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。卡巴斯基实验室同时提醒广大网友,对于来源不明的文件,一定不要轻易打开,以免感染恶意程序造成损失。

本文来源:天空软件 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行