¿Windows 8 incluye el programa de Ayuda de Windows (WinHlp32.exe)?

9

En 2011, Symantec informó sobre el uso de la extensión del archivo de ayuda de Windows (.hlp) como vector de ataque en ataques dirigidos.

La funcionalidad del archivo de ayuda permite una llamada a la API de Windows que, a su vez, permite la ejecución del código de shell y la instalación de archivos de carga maliciosa. Esta funcionalidad no es un exploit, pero existe por diseño

Aquí está el mapa de calor de detección de archivos ( Bloodhound.HLP.1& Bloodhound.HLP.2) maliciosos de WinHelp :

ingrese la descripción de la imagen aquí

Me gustaría saber si el programa de Ayuda de Windows existe en mi máquina con Windows 8 de manera predeterminada, porque si lo hace, podría necesitar eliminarlo por razones de seguridad.

¿Windows 8 incluye el programa de Ayuda de Windows (WinHlp32.exe)?

amiregelz
fuente
Me dio la impresión de que Microsoft suspendió el uso de este formato de archivo hace varios años. Se movieron a un nuevo formato de archivo similar, deberías usar ese formato, dudo mucho que este vector de ataque incluso se pueda usar actualmente.
Ramhound

Respuestas:

14

C:\Windows\winhlp32.exeinstalado con Windows 8 es solo un código auxiliar (~ 10 KB). ¡No muestra ni abre .hlparchivos! No es necesario borrar este archivo.

Existe una actualización opcional KB917607 ( .msu ) para Windows 8 que permite trabajar con .hlparchivos, pero esta actualización solo puede ser instalada manualmente por el usuario. Después de instalar esta actualización C:\Windows\winhlp32.exeserá más de 100 KB (no puedo decir exactamente).

Maximus
fuente
En x64 Windows Enterprise después de aplicar esa actualización, winhlp32.exe es 287,744 bytes.
Mark Allen
1
Esto también es cierto en Win 7 (al menos el Win 7 pro de 64 bits que tengo aquí). Desafortunadamente, una buena cantidad de programas que utilizo no han recibido el memo y no se han actualizado al nuevo sistema de ayuda. Oye, solo ha pasado una década ...
RBerteig
Edité tu publicación para recuperar mi voto negativo y hacer que sea +1. Lo había entendido mal, pero ahora me doy cuenta de que estaba equivocado. : P
avirk
1
Esto ha sido así desde Vista, y sí, introdujeron KB917607 como un complemento opcional para restaurar Winhlp32 si es necesario.
Yuhong Bao
6

Instalación limpia Windows Pro RTM OEM, todo lo que hace el trozo winhlp32 es abrir la ventana de Ayuda y soporte. Haga clic derecho en abrir con o doble clic para obtener la ventana de soporte.

Debe instalarse manualmente

ingrese la descripción de la imagen aquí

.

ingrese la descripción de la imagen aquí

Moab
fuente
De eso es de lo que estoy hablando en mi respuesta: P
avirk
2
@avirk: en realidad, la respuesta de Moab confirma lo que dijo Maximus, que si bien el EXE puede existir por defecto, es solo un trozo y no abrirá realmente archivos .HLP, por lo que no puede actuar como un vector de ataque . Después de instalar la actualización, el EXE se reemplaza por uno más grande que no es un trozo y que realmente funciona, que es cuando podría representar una amenaza si se abrieran .HLP infectados.
Karan
0

Acabo de intentar ejecutarlo en Windows 8 y funciona, por lo que definitivamente está ahí.
También hay referencias a Windows 8 en MSDN .

Antes de eliminarlo, es posible que desee comprobar si esta "funcionalidad" se ha atenuado para que ya no se pueda utilizar con fines malintencionados.

Maquinilla de afeitar
fuente