上個月，流行的解壓縮軟件WinRAR 曝出了一個至少14年曆史的代碼執行漏洞，安全公司Check Point的研究人員在UNACEV2.DLL的過濾函數中發現了一個漏洞，允許將代碼提取到Windows啟動文件夾，在Windows重啟之後執行。

現在，McAfee 研究人員報告該漏洞正被利用安裝難以檢測的惡意程序。當存在漏洞的WinRAR 解壓惡意壓縮文檔，它會悄悄將名為hi.exe 的文件提取到啟動文件夾，當系統重啟之後它會安裝一個木馬程序，該木馬目前只有少數殺毒軟件能檢測出來。WinRAR 用戶最好升級到新版本或者改用其它解壓軟件如7zip。

圖1 – McAfee檢測到的格式錯誤的存檔為CVE2018-20250！4A63011F5B88

SHA256：e6e5530ed748283d4f6ef3485bfbf84ae573289ad28db0815f711dc45f448bec

圖2 – 提取的非惡意MP3文件

圖3 – McAfee檢測到的提取的惡意軟件負載為Generic Trojan.i

SHA256：A1C06018B4E331F95A0E33B47F0FAA5CB6A084D15FEC30772923269669F4BC91