Windows 7 işletim sistemi hala popüler. Ancak, güvenlik güncellemelerinin olmaması nedeniyle, daha yeni işletim sistemlerinde çalışmayan bazı saldırılara karşı savunmasız hale geldi.
Uzmanlar yakın zamanda Trojan Qbot’ta (Qakbot olarak da bilinir) DLL ikame tekniği kullanan bir değişiklik buldular. Bunun için Windows 7’deki hesap makinesinin dahil olması dikkat çekicidir.
İlk aşamada virüs e-posta yoluyla yayılır. Kurbana bir HTML dosyası gönderilir ve bu dosya daha sonra şifreli bir ZIP arşivi indirir. İçinde calc.exe dosyası, iki kitaplık – WindowsCodecs.dll ve 7533.dll ve “.lnk” uzantılı bir kısayol içeren bir ISO görüntüsü vardır. Önemli veriler içeren bir PDF dosyası veya Microsoft Edge tarayıcısında açılan bir dosya gibi görünüyor. Ancak, açıldığında, enfeksiyonu başlatan hesap makinesi başlatılır.
Gerçek şu ki, calc.exe WindowsCodecs.dll kitaplığını yükler, ancak aynı ada sahip bir kitaplık başlangıç dosyasının yanına yerleştirilirse, o zaman kullanılacaktır. Böylece meşru bir kütüphaneyi kötü niyetli bir kopya ile değiştirmek mümkündür.
Kitaplıktaki güvenlik açığı daha yeni işletim sistemlerinde giderildiğinden, bu saldırının yalnızca Windows 7’de çalıştığını unutmayın.
Microsoft daha önce Windows 7, Windows 8.1, Windows 10 ve Windows 11’i güncellemiştir.
