网络黑客会利用各种手段对恶意软件进行伪装，引诱计算机用户点击运行。其中最常用的手段之一就是修改可执行文件的图标，如修改成文本文件、图片文件或Word文档的图标，让用户放松警惕，从而达到感染计算机的目的。安全起见，建议广大用户在文件夹选项中开启显示文件的扩展名，以免让伪装过的恶意软件有机可乘。

卡巴斯基实验室最近就截获到一种利用这种手段进行感染的木马程序，名为“BHO推广木马”(Trojan.Win32.BHO.btog)。其编写者将恶意加载器、恶意BHO、正常的txt文档打包成自解压可执行程序，并修改图标为文本文档图标。文件名也很有迷惑性，如图：

运行后，恶意加载器在前台打开正常的txt文档，在后台修改注册表添加恶意BHO。当用户打开浏览器上网时，会加载恶意BHO，创建浏览器快捷方式指向www.d011.com。如下图所示：

之后，用户每次打开浏览器，就会自动被定向到该网站。不仅如此，恶意程序释放的恶意BHO还会劫持用户上网，将很多常见网站如京东商城、淘宝、中华英才、前程无忧、人人网、中国移动等重定向至www.9loo.com，进行恶意推广。见下图：

目前，卡巴斯基所有产品均可以对该木马进行查杀。用户只需保持反病毒数据库更新即可有效拦截此木马。卡巴斯基实验室同时提醒广大网友，对于来源不明的可疑文件，一定不要轻易打开，绝不能仅从文件图标判断其安全性。避免感染恶意程序造成损失。