您的位置:网站首页 > 安全专题 > 正文

新型“下载器木马”利用dll加载漏洞 用户要小心防范

作者:admin 来源: 日期:2012-9-11 8:53:21
目前,恶意程序为了感染系统真是机关算尽。手段数不胜数,但是,使用最多的无疑是把恶意程序伪装成良性程序,诱惑用户点击,但是也有一部分恶意程序,会利用用户计算机系统或应用软件的漏洞,伺机加载。

日前,金山毒霸近期截获到一种名为Trojan-Downloader.Win32.Banload.brxn的下载器木马。该木马能够利用某款解压缩软件的dll加载漏洞,感染系统。

据金山安全专家介绍称,此木马可以利用HaoZipUpdate.exe加载DLL漏洞加载恶意程序。首先会将自身加密数据解密,从地址00407030开始,长度为2800h,解密方法为异或9Dh,减去71h,异或7Ch,解密出恶意DLL,恶意DLL伪造了正常HaoZip.dll的导出函数名。然后会执行第二次解密,从地址00409830开始,长度为0F0C8h,解密方法为异或96h,减去71h,异或7Ch,解密出正常的HaoZipUpdate.exe。最后通过获取shell32.dll的ShellExecute函数执行HaoZipUpdate.exe。由于HaoZipUpdate.exe存在加载DLL漏洞,会不加判断加载被伪造的恶意DLL,使得一个正常程序加载恶意程序,躲避杀毒软件的查杀。

同时金山安全专家还称,被加载的恶意DLL会自动连接网络同进下载一个名为lmlj.html的文件。该文件是一种盗取支付信息的木马,目前,金山毒霸已经实现完美查杀。

金山毒霸发现该软件漏洞后,第一时间通知了该软件开发者。截止本文发稿时,该解压缩软件已经修复这一漏洞,广大用户可以放心使用。同时,金山毒霸可以对该木马进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。金山毒霸同时提醒广大网友,对于来源不明的文件,一定不要轻易打开,以免感染恶意程序造成财产的损失。

本文网址: