正文开始之前，PWN君想问一问各位PWN友，你经常用的操作系统是什么？

其实，第一部计算机面世时，并没有搭载操作系统，直到1956年通用汽车为了自家的 IBM 704 机器才研发出有史以来最早的计算机操作系统 GM-NAA I/O。经过半个多世纪的发展，微软的 Windows 成功占据了计算机操作系统的（大）半壁江山，目前已经更新升级到 Windows 11。不过，很多人也许没想到，截至2022年6月份，微软在2019年已宣布停止支持的Windows 7市场份额比Windows 11还高一点，在 Windows 的整体市场份额中依旧排第二位。本文的主角，就与 Windows 7 有关。

前两天，外网有这么一篇报道：

乍一看还以为是用“计算器”就破解了 Windows 7。而事实是：利用 Windows 计算器中的 DLL 劫持漏洞能感染计算机，植入QBot 木马，避开安全软件的检测，进而秘密获取用户的姓名、邮件、照片、视频等信息，把电脑变成新的恶意软件传播器。

所谓“最高端的攻击往往采用最朴素的方法”。似乎很多攻击都从一封邮件开始，这个利用“计算”漏洞针对 Win7 的攻击也不例外。攻击者向用户发送带有 HTML 附件的邮件，下载之后是一个需要密码才能解压的zip文件。之所以要加密，是为了躲避杀毒软件的检测。

当然，解压密码已经写在 HTML 文件里了，否则无法解压，恶意程序就放不出来。zip文件解压之后，里面有一个 ISO 文档，包含.LNK文件、伪造的 Windows 计算器程序和两个 DLL文件。一旦加载这个ISO文件，就会激活伪造的 Windows 计算器程序，这个程序则会被系统判定为受信任的程序，进而安装 QBot。

DLL 劫持已经是比较常见的攻击方法了，主要就是利用了 Windows 处理动态链接库方式的缺陷。通过创建合法DLL的恶意版本并将其排在搜索结果的前排，就能在系统启动可执行文件时优先加载恶意DLL，入侵计算机。QBot 更是存在了十多年，在2009年就已经出现。曾被用于分发 RansomExx, Maze, ProLock,  Egregor 等勒索软件。最近还在分发 Black Basta 勒索软件。

研究发现，这个漏洞目前只影响 Win7系统。所谓的用计算器入侵电脑系统也只是因为特定的 Win7系统中计算器因为漏洞被劫持，导致含有恶意软件的伪造“计算器”欺骗系统得以运行。无论用户是出于什么原因选择继续用 Win7，考虑到安全性还是要尽早升级。虽然微软早就宣布不再支持 Win7，也许可以再提醒提醒那些用着旧系统的老用户们。

当大家渐渐习惯去研究新的问题时，往往会忽视旧的问题。未修复的漏洞依然会被利用，老的恶意软件也可能依旧在暗中活动。毕竟攻击者为了达成目的往往无所不用其极。作为防御者，有时也许要温故知新。

本次研究者发现的攻击详情与IoC：

https://bazaar.abuse.ch/sample/f5c16248418a4f1fd8dff438b26b8da7f587b77db9e180a82493bae140893687/

https://github.com/pr0xylife/Qakbot/blob/main/Qakbot_obama200_11.07.2022.txt