客服邮箱
kaba365@pcstars.com.cn
销售客服
(购买咨询|订单查询|兑换帮助)
400-819-1313(9:00-18:00)
技术客服
(安装|使用问题咨询)
400-611-6633(5×8小时)
排名 | 病毒名称 | 病毒类型 | 周爆发率(%) |
1. | DangerousObject.Multi.Generic | 危险对象 | 29.91 |
2. | Trojan.Win32.Generic | 木马 | 23.94 |
3. | HiddenObject.Multi.Generic | 隐藏对象 | 13.22 |
4. | Net-Worm.Win32.Kido.ir | 蠕虫 | 10.06 |
5. | Virus.Acad.Pasdoc.i | 病毒 | 9.20 |
6. | Net-Worm.Win32.Kido.ih | 蠕虫 | 9.07 |
7. | Trojan.Acad.Qfas.b | 木马 | 7.67 |
8. | Trojan.Acad.Dwgun.e | 木马 | 5.46 |
9. | Trojan.Win32.StartPage | 木马 | 4.88 |
10. | Virus.Acad.Bursted.a | 病毒 | 4.76 |
关注恶意软件:
创建文件:
C:\Program Files\Windows NT\Accessories\HaoZipUpdate.exe
C:\Program Files\Windows NT\Accessories\HaoZip.dll
修改注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HaoZip,C:\Program Files\Windows NT\Accessories\HaoZipUpdate.exe
行为描述:
此木马可以利用HaoZipUpdate.exe加载DLL漏洞加载恶意程序。首先会将自身加密数据解密,从地址00407030开始,长度为2800h,解密方法为异或9Dh,减去71h,异或7Ch,解密出恶意DLL,恶意DLL伪造了正常HaoZip.dll的导出函数名。然后会执行第二次解密,从地址00409830开始,长度为0F0C8h,解密方法为异或96h,减去71h,异或7Ch,解密出正常的HaoZipUpdate.exe。最后通过获取shell32.dll的ShellExecute函数执行HaoZipUpdate.exe。由于HaoZipUpdate.exe存在加载DLL漏洞,会不加判断加载被伪造的恶意DLL,使得一个正常程序加载恶意程序,躲避杀毒软件的查杀。
被加载的恶意DLL会自动连接网络,下载一个名为lmlj.html的文件。该文件是一种盗取支付信息的木马,卡巴斯基产品可以查杀,名称为Trojan-PSW.Win32.Alipay.ox。
目前,卡巴斯基所有产品均可以对该木马进行查杀。该解压缩软件的漏洞也已经被修复。
专家预防建议: