小心将帮助文件上警惕系统帮助文件

shx11

　有一天，我碰到一个恶意软件，企图掩盖其感染而不是在该技术问题，而是在非常独特的方式。

　　“穆斯特尔”是一个后门已使用帮助文件隐藏自己的家庭。帮助文件或“的。hlp”的文件是设计的数据能够与微软WinHelp的浏览器浏览，提供在线帮助的应用程序的用户。对“穆斯特尔”下拉早期变种编码的扩展名“的文件名中的主要组成部分的副本后门的。hlp”。这些“的。hlp”文件解密后与微软CryptAPI与硬编码键和装载机执行。

　　最近的一个变种“Muster.e“使用帮助文件中的方式不同。一旦安装，它感染到一个现有的帮助文件称为“imepaden.hlp”这是微软输入法的帮助文件之一。当然，这受感染的帮助文件仍然可以被视为与WinHelp的在与原文件相同的方式帮助浏览器，用户很难找到认为它的感染。

　　这是如何激活后，每台机器启动？Muster.e也下降1sys文件是作为一个服务加载后，重新启动。sys文件，这是提取所附的帮助文件和可执行文件复制到一个独立的可执行文件称为负责“upgraderUI.exe”的注册表项HKEY_LOCAL_MACHINE\软件\微软\的Windows\CurrentVersion\运行AutoPatch，这使得用户相信这是有关系统更新工具的东西。除此之外，恶意软件作者也已制作的SYS文件欺骗用户。

　　正如你可以看到，这个sys文件也有类似的“MyDDKDevice”和“HelloDDK”，并设计倾倒许多调试信息，哪些名字看起来是一个典型的测试sys文件，是因为普通人的指南示例代码编译为学习设备驱动程序节目。事实上，如果你对这些词的搜索，你会看到网络设备驱动程序页面描述很多。这不是那么容易知道为什么作者们创造了一个sys文件这种方式。然而，就在帮助文件中的隐藏后门上的努力，我不认为有坏人创建sys无聊的临时文件，但更喜欢欺骗用户，这是无辜的。

　　恶意软件编写者所计划的可能方案之一是这样的。受害人可以看到这个可疑文件的存在UpgraderUI.exe和注册表项，然后他们将删除文件和注册表项。然后，他们会认为他们已删除了这个后门成功。即使他们找到的文件和注册表关键是回来一次又一次地在每个重新启动，用户将无法找到任何其他可疑文件。用户永远不会想象，sys文件是恶意或对文件imepaden.hlp感染。

　　我不知道这些欺骗伎俩实在的工作，但是你可能要添加帮助files到您的清单，如果你的机器是怀疑be感染。McAfee的VirusScan具有的DAT5861或更高版本检测和清除受感染者的帮助文件和后门文件。

　　根据McAfee的工程师的最新研究显示，目前有一种新型病毒会通过系统帮助文件（。知名人士小组）的形式来隐藏自己。该病毒会感染一个系统自带的名为imepaden.hlp的帮助文件。而该文件即便是感染后亦可以通过WinHelp的浏览器进行查看，所以从表面上用户很难判别这个文件是否有毒。同时，该文件亦会创建一个sys文件并添加到系统服务中，已达到自动启动的目的。病毒还会创建一个名为upgraderUI.exe的文件，并且添加到注册表HKEY_LOCAL_MACHINE\软件\微软\的Windows\CurrentVersion\运行中。

　　所以各大用户千万不要忽视系统帮助文件，使用杀毒软件进行病毒扫描时一定要添加对的。hlp文件的扫描。

snakegtr

lz分享前能不能先自己看下文章这翻译一看就是机器翻得，根本看不懂啊

十八

说的啥？俺没上过学，读不通。

hujiwa

*.hlp  基本用户