W 2011 r. Firma Symantec poinformowała o użyciu rozszerzenia pliku pomocy systemu Windows (.hlp) jako wektora ataku w atakach ukierunkowanych.
Funkcjonalność pliku pomocy umożliwia wywołanie interfejsu API systemu Windows, który z kolei umożliwia wykonanie kodu powłoki i instalację złośliwych plików danych. Ta funkcjonalność nie jest exploitem, ale z założenia.
Oto mapa ciepła wykrywania szkodliwych plików WinHelp ( Bloodhound.HLP.1
i Bloodhound.HLP.2
):
Chciałbym wiedzieć, czy program Pomocy systemu Windows domyślnie istnieje na moim komputerze z systemem Windows 8, ponieważ jeśli tak, może być konieczne jego usunięcie ze względów bezpieczeństwa.
Czy system Windows 8 zawiera program Pomocy systemu Windows (WinHlp32.exe)?
security
windows-8
help-files
amiregelz
źródło
źródło
Odpowiedzi:
C:\Windows\winhlp32.exe
zainstalowany w systemie Windows 8 to tylko kod pośredniczący (~ 10 KB). Nie pokazuje ani nie otwiera.hlp
plików! Nie musisz usuwać tego pliku.Dostępna jest opcjonalna aktualizacja KB917607 (.msu) dla systemu Windows 8, która pozwala na pracę z
.hlp
plikami, ale ta aktualizacja może być zainstalowana ręcznie tylko przez użytkownika. Po zainstalowaniu ta aktualizacjaC:\Windows\winhlp32.exe
będzie większa niż 100 KB (nie można powiedzieć dokładnie).źródło
Czysta instalacja systemu Windows Pro RTM OEM, wszystko, co robi winhlp32, to otwarcie okna Pomoc i obsługa techniczna. Kliknięcie prawym przyciskiem myszy lub podwójne kliknięcie otwiera okno pomocy technicznej.
Musi być zainstalowany ręcznie
.
źródło
Właśnie próbowałem uruchomić go w systemie Windows 8 i działa, więc na pewno tam jest.
Istnieją również odniesienia do systemu Windows 8 w MSDN .
Zanim go usuniesz, możesz chcieć sprawdzić, czy ta „funkcjonalność” została stonowana, aby nie mogła być dłużej wykorzystywana złośliwie.
źródło