Операционная система Windows 7 всё ещё остаётся популярной. Однако, из-за отсутствия обновлений безопасности она оказалась уязвимой к некоторым атакам, которые не работают на более новых ОС. Недавно эксперты нашли модификацию троянской программы Qbot, которая использует метод подмены библиотеки DLL. Примечательно, что для этого используется калькулятор в Windows 7.
На первом этапе вредоносное ПО распространяется через электронную почту. Жертве присылают HTML-файл, который способствует загрузке ZIP-архива с паролем. Внутри него находится ISO-образ, который и содержит внутри себя файл calc.exe, две DLL-библиотеки — WindowsCodecs.dll и 7533.dll, а также ярлык с расширением «.lnk». При открытии ярлыка запускается с виду обычный калькулятор, но вместе с этим начнётся заражение системы.
Дело в том, что calc.exe использует библиотеку WindowsCodecs.dll. Если библиотеку с таким же названием поместить рядом с основным файлом, то будет использоваться именно она. Таким образом можно подменить настоящую библиотеку на вредоносную копию. Подобная атака работает только в Windows 7, поскольку в более новых ОС уязвимость с библиотекой исправили.