Windows 8 inclut-il le programme d'aide de Windows (WinHlp32.exe)?

9

En 2011, Symantec a rendu compte de l'utilisation de l'extension Windows Help File (.hlp) comme vecteur d'attaque dans des attaques ciblées.

La fonctionnalité du fichier d'aide permet un appel à l'API Windows qui, à son tour, permet l'exécution de code shell et l'installation de fichiers de charge utile malveillants. Cette fonctionnalité n'est pas un exploit, mais existe par conception.

Voici la carte thermique de détection des fichiers ( Bloodhound.HLP.1& Bloodhound.HLP.2) WinHelp malveillants :

entrez la description de l'image ici

Je voudrais savoir si le programme d'aide de Windows existe sur ma machine Windows 8 par défaut, car si c'est le cas, je pourrais avoir besoin de le supprimer pour des raisons de sécurité.

Windows 8 inclut-il le programme d'aide de Windows (WinHlp32.exe)?

amiregelz
la source
J'avais l'impression que Microsoft avait cessé d'utiliser ce format de fichier il y a plusieurs années. Ils sont passés à un nouveau format de fichier similaire, vous devriez utiliser ce format, je doute sérieusement que ce vecteur d'attaque puisse même être utilisé actuellement.
Ramhound

Réponses:

14

C:\Windows\winhlp32.exeinstallé avec Windows 8 est un talon uniquement (~ 10 Ko). Il n'affiche ni n'ouvre les .hlpfichiers! Vous n'avez pas besoin d'effacer ce fichier.

Il existe une mise à jour facultative KB917607 (.msu) pour Windows 8 qui permet de travailler avec des .hlpfichiers, mais cette mise à jour peut être installée manuellement par l'utilisateur uniquement. Après l'installation de cette mise à jour C:\Windows\winhlp32.exesera supérieure à 100 Ko (ne peut pas dire exactement).

Maximus
la source
Sur x64 Windows Enterprise après avoir appliqué cette mise à jour, winhlp32.exe fait 287 744 octets.
Mark Allen
1
Cela est également vrai sur Win 7 (au moins le Win 7 pro 64 bits que j'ai ici). Malheureusement, un bon nombre de programmes que j'utilise n'ont pas reçu le mémo et n'ont pas été mis à jour avec le système d'aide le plus récent. Hé,
ça
J'ai édité votre message juste pour récupérer mon downvote et pour le faire +1. Je l'avais mal compris mais maintenant je me rends compte que j'avais tort. : P
avirk
1
Cela est vrai depuis Vista, et oui, ils ont introduit KB917607 en tant que module complémentaire facultatif pour restaurer Winhlp32 si nécessaire.
Yuhong Bao
6

Nettoyer l'installation de Windows Pro RTM OEM, tout le stub winhlp32 fait est d'ouvrir la fenêtre d'aide et de support. Un clic droit ouvert avec ou un double clic ouvre la fenêtre de support.

Il doit être installé manuellement

entrez la description de l'image ici

.

entrez la description de l'image ici

Moab
la source
C'est ce dont je parle dans ma réponse: P
avirk
2
@avirk: En fait, la réponse de Moab confirme ce que Maximus a dit, que bien que l'EXE puisse exister par défaut, ce n'est qu'un simple talon et n'ouvrira pas réellement les fichiers .HLP, et ne peut donc pas agir comme un vecteur d'attaque . Après l'installation de la mise à jour, l'EXE est remplacé par un fichier plus gros qui n'est pas un talon et fonctionne réellement, ce qui peut constituer une menace si le fichier .HLPs infecté était ouvert.
Karan
0

Je viens d'essayer de l'exécuter sur Windows 8 et cela fonctionne, donc c'est définitivement là.
Il existe également des références à Windows 8 sur MSDN .

Avant de le supprimer, vous voudrez peut-être vérifier si cette "fonctionnalité" a été atténuée afin qu'elle ne puisse plus être utilisée de manière malveillante.

Rasoir
la source