据介绍，此“淘宝大盗”新变种木马主要通过淘宝旺旺进行传播，不良“卖家”通常会假借“宝贝图片”或“真人实拍图”之类的木马文件，诱骗买家用户接收并打开，感染电脑后，此木马会将自己捆绑在正常软件里，以逃避安全软件的查杀并时刻监控用户的网购行为，进而通过恶意篡改订单的方式，将中毒用户网银中的钱转移到陌生帐号。且感染该木马后，买家将无法使用“支付宝余额支付”和“快捷支付”功能，此木马将这两种支付方式直接屏蔽，目的是不在支付宝中留下犯罪线索。

         【淘宝大盗新型变种木马运行过程分析】

         一 通过安全程序启动木马可绕过安全软件检测

         它利用了当前最流行的白加黑的盗号技术，由于好压图片查看程序存在DLL文件加载漏洞，因此当用户运行宝贝图片.exe（白文件）会自动加载haozip.dll（“淘宝大盗”），且不容易被安全软件发现。

          二 诡异的错误提示，打消用户的怀疑

         用户被骗接受文件后，运行的时候会出现类似系统文件已经损坏的提示，此时用户就会觉得没啥问题，不会怀疑到木马程序已经偷偷运行。