QBot 恶意软件一直在使用Windows计算器将恶意dll文件侧载到受感染的计算机上。

DLL侧载是一种常见的攻击方法，它利用了Windows处理动态链接库 (DLL) 的方式。将恶意DLL放置在操作系统加载它的文件夹中，由正常的Windows计算器应用加载。

QBot，也称为Qakbot，是一种Windows恶意软件，最初是一种银行木马，后来演变为众多恶意软件下载器，常被勒索软件团伙用来投放Cobalt Strike信标。

安全研究人员ProxyLife发现，至少从7月11日起，Qakbot就在滥用Windows7计算器应用程序进行DLL侧载攻击，攻击者通过钓鱼邮件投放。

最新的攻击活动使用电子邮件，附件含有一个HTML文件，查看HTML文件会显示打开文档的密码，将文件加密后投放可以逃避防病毒软件检测。

在投放的ISO文件中包含一个 .LNK文件、“calc.exe”（Windows 7计算器）和两个DLL文件，即 WindowsCodecs.dll 和一个名为7533.dll的恶意负载。

在新版Windows中，当用户双击ISO文件时，操作系统会自动将其装载到虚拟光驱。——这也是攻击者越来越多使用ISO文件投放恶意载荷的原因，之后受害者就极可能双击已加载到虚拟光驱中的恶意程序。

在本例中，双击.lnk快捷方式文件会启动Windows 7计算器。Windows 7计算器启动时会自动搜索并尝试加载合法的WindowsCodecs.DLL文件。但该程序不会检查硬编码路径中的DLL，如果与Calc.exe可执行文件在同一文件夹中，计算器将加载具有相同名称的任何DLL文件。

QBot恶意软件因此成功启动，通过Windows计算器等受信任的程序安装QBot，可以逃避某些安全软件的检测。

DLL侧载漏洞不再适用于Windows 10以后的计算器（calc.exe），这就是攻击者捆绑Windows 7版本的原因。

QBot已经存在十多年，研究人员观察到Emotet 僵尸网络曾经分发它，并最终投递勒索软件。QBot曾投放包括RansomExx、Maze、ProLock、Egregor、Black Basta等勒索软件家族。