关注恶意软件：

• 名称：下载器木马（Trojan-Downloader.Win32.Banload.brxn）
• 大小：55.5 KB
• 是否加壳：是
• 加壳方式：UPX

   

创建文件：

C:\Program Files\Windows NT\Accessories\HaoZipUpdate.exe
C:\Program Files\Windows NT\Accessories\HaoZip.dll

修改注册表：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HaoZip,C:\Program Files\Windows NT\Accessories\HaoZipUpdate.exe

行为描述：

　　此木马可以利用HaoZipUpdate.exe加载DLL漏洞加载恶意程序。首先会将自身加密数据解密，从地址00407030开始，长度为2800h，解密方法为异或9Dh，减去71h，异或7Ch，解密出恶意DLL，恶意DLL伪造了正常HaoZip.dll的导出函数名。然后会执行第二次解密，从地址00409830开始，长度为0F0C8h，解密方法为异或96h，减去71h，异或7Ch，解密出正常的HaoZipUpdate.exe。最后通过获取shell32.dll的ShellExecute函数执行HaoZipUpdate.exe。由于HaoZipUpdate.exe存在加载DLL漏洞，会不加判断加载被伪造的恶意DLL，使得一个正常程序加载恶意程序，躲避杀毒软件的查杀。

　　被加载的恶意DLL会自动连接网络，下载一个名为lmlj.html的文件。该文件是一种盗取支付信息的木马，卡巴斯基产品可以查杀，名称为Trojan-PSW.Win32.Alipay.ox。

　　目前，卡巴斯基所有产品均可以对该木马进行查杀。该解压缩软件的漏洞也已经被修复。

专家预防建议:

• 建立良好的安全习惯，不打开可疑邮件和可疑网站。
• 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
• 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
• 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
• 安装专业的防毒软件升级到最新版本，并开启实时监控功能。
• 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
• 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。