卡巴斯基实验室近期截获到一种名为Trojan-Downloader.Win32.Banload.brxn的下载器木马。该木马能够利用某款解压缩软件的dll加载漏洞，感染系统。

         此木马可以利用HaoZipUpdate.exe加载DLL漏洞加载恶意程序。首先会将自身加密数据解密，从地址00407030开始，长度为2800h，解密方法为异或9Dh，减去71h，异或7Ch，解密出恶意DLL，恶意DLL伪造了正常HaoZip.dll的导出函数名。然后会执行第二次解密，从地址00409830开始，长度为0F0C8h，解密方法为异或96h，减去71h，异或7Ch，解密出正常的HaoZipUpdate.exe。最后通过获取shell32.dll的ShellExecute函数执行HaoZipUpdate.exe。由于HaoZipUpdate.exe存在加载DLL漏洞，会不加判断加载被伪造的恶意DLL，使得一个正常程序加载恶意程序，躲避杀毒软件的查杀。

         被加载的恶意DLL会自动连接网络，下载一个名为lmlj.html的文件。该文件是一种盗取支付信息的木马，卡巴斯基产品可以查杀，名称为Trojan-PSW.Win32.Alipay.ox。

         卡巴斯基实验室发现该软件漏洞后，第一时间通知了该软件开发者。截止本文发稿时，该解压缩软件已经修复这一漏洞，广大用户可以放心使用。同时，卡巴斯基所有安全产品也均可以对该木马进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。卡巴斯基实验室同时提醒广大网友，对于来源不明的文件，一定不要轻易打开，以免感染恶意程序造成损失。