シマンテックは26日、Lhaca デラックス版バージョン1.20に脆弱性があり、同アーカイバで作成されたLZHファイルはトロイの木馬「Trojan.Lhdropper」として検出されると警告した。 発表によると、Lhaca デラックス版バージョン1.20で作成したLZHファイルには複数のNOPスレッド、シェルコードに似たコードブロック、暗号解読用コード、エンコードされた実行ファイルが含まれ、同アーカイバがインストールされた日本語版Windows XP上で実行した場合、WindowsのSystemフォルダにバックドアが作成される。その後、別のLZHファイルが実行され、無害な一太郎ドキュメントが解凍される。 シマンテックによると、文字列長の確認を適切に行わないstrcpy()の呼び出しが原因で、重要なスタックメモリーが上書きされる恐れがあるため制御がシェルコードに移行するとのことだ。
