从3月开始，AVG中国病毒实验室就截获到大批具有迷惑性伪装的“网购木马”，他们大多都以“3•8节”和“超低价”为噱头，以“网购促销”和团购等形式出现，在新兴事物集中爆发的网络环境里，只要网友购物心切，一不小心就有可能中招。

         下面我们选择一款经典的“实物图.exe”木马来分析看看。这款木马的特别之处在于使用了可信的软件的漏洞，利用可信的程序加载病毒文件执行恶意指令。对普通用户更具迷惑性。

         从奸商处得到的文件是一个压缩包

         解压后包含三个文件

         这时有警惕性的网友都会质疑这个exe，但是这个程序是具有合法的签名的，并且多家厂商的云鉴定也为安全。

         这样的话运行这个文件是否就是安全的？况且看起来挺像一个图片？况且卖家说运行这个文件解压缩图片？

         答案是否定的。蹊跷就在这个haozip.dll里。这个dll是一个网购木马，在运行后会进一步驻留进系统，旨在盗取淘宝帐号。

         那么该dll是如何被执行的呢？原来实物图.exe是属于好压软件的程序，这个exe在执行后会试图加载同目录名为haozip.dll的动态库而没有验证是否合法。这一点被病毒利用，于是就产生了这样一种借正常程序的壳，来执行恶意程序这一类病毒加载方式。

         使用这一方式来加载自身的病毒并非这一例，除了好压的签名程序，一些热门影音播放软件和一些安全类软件也沦为了该病毒的宿主。因此广大网友在接收到不明程序时，千万不要掉以轻心，需经常更新病毒库，不要因为exe是安全的就轻易运行。

         目前此恶意程序已被AVG检测为Generic27.JUX

         以上，AVG提醒广大用户，即使需求再迫切，网购也仍然需谨慎再谨慎：在登录网购页面前，不妨先用专业的探测软件检查一下，该网页是否被挂马、含病毒，例如AVG的link scanner,可以轻松流畅的帮你提前监测页面是否安全；同时，不是谁都能消受得起电脑裸奔的狂欢，为自己的电脑选择一款敬业并且专业的安全软件是必不可少的。