O Windows 8 inclui o programa de Ajuda do Windows (WinHlp32.exe)?

9

Em 2011, a Symantec relatou o uso da extensão Windows Help File (.hlp) como um vetor de ataque em ataques direcionados.

A funcionalidade do arquivo de ajuda permite uma chamada para a API do Windows que, por sua vez, permite a execução de código de shell e a instalação de arquivos de carga útil mal-intencionados. Essa funcionalidade não é uma exploração, mas existe por design.

Aqui está o mapa de calor de detecção maliciosa de arquivos WinHelp ( Bloodhound.HLP.1& Bloodhound.HLP.2):

insira a descrição da imagem aqui

Gostaria de saber se o programa de Ajuda do Windows existe na minha máquina Windows 8 por padrão, porque, se houver, talvez seja necessário removê-lo por motivos de segurança.

O Windows 8 inclui o programa de Ajuda do Windows (WinHlp32.exe)?

security windows-8 help-files amiregelz
fonte
Minha impressão foi de que a Microsoft interrompeu o uso desse formato de arquivo há vários anos. Eles mudaram para um novo formato de arquivo semelhante; você deve usar esse formato; duvido seriamente que esse vetor de ataque possa ser usado atualmente.
Ramhound

Respostas:

14

C:\Windows\winhlp32.exeinstalado no Windows 8 é apenas um esboço (~ 10 KB). Não mostra ou abre .hlparquivos! Você não precisa apagar este arquivo.

Há uma atualização opcional KB917607 (.msu) para Windows 8, que permite trabalhar com .hlparquivos, mas essa atualização pode ser instalada manualmente apenas pelo usuário. Depois de instalar esta atualização C:\Windows\winhlp32.exeserá superior a 100 KB (não posso dizer exatamente).

Maximus
fonte
No Windows Enterprise x64 após a aplicação dessa atualização, o winhlp32.exe possui 287.744 bytes.
Mark Allen
1
Isso também é verdade no Win 7 (pelo menos o Win 7 pro de 64 bits que tenho aqui). Infelizmente, vários programas que utilizo não receberam o memorando e foram atualizados para o sistema de ajuda mais recente. Hey, tem sido apenas uma década ....
RBerteig
Eu editei sua postagem para voltar ao meu voto negativo e torná-lo +1. Eu tinha entendido errado, mas agora percebo que estava errado. : P
avirk
1
Isso ocorre desde o Vista, e eles introduziram o KB917607 como um complemento opcional para restaurar o Winhlp32, se necessário.
Yuhong Bao
6

Instalação limpa do Windows Pro RTM OEM, tudo o que o stub do winhlp32 faz é abrir a janela Ajuda e suporte. Clique com o botão direito do mouse em abrir com ou clique duas vezes para obter a janela de suporte.

Ele deve ser instalado manualmente

insira a descrição da imagem aqui

.

insira a descrição da imagem aqui

Moab
fonte
É disso que estou falando na minha resposta: P
avirk
2
@avirk: Na verdade, a resposta do Moab confirma o que Maximus disse, que, embora o EXE possa existir por padrão, é apenas um mero esboço e na verdade não abre arquivos .HLP e , portanto, não pode atuar como um vetor de ataque . Depois de instalar a atualização, o EXE é substituído por um maior que não é um esboço e realmente funciona, que pode representar uma ameaça se os .HLPs infectados forem abertos.
Karan
0

Eu apenas tentei executá-lo no Windows 8 e funciona, por isso definitivamente está lá.
Também existem referências ao Windows 8 no MSDN .

Antes de excluí-lo, convém verificar se essa "funcionalidade" foi atenuada para que não possa mais ser usada com intuito malicioso.

Navalha
fonte