Sembra che anche i file .HLP abbiano perso l’innocenza: questo articolo sul sito della McAfee racconta di una tipologia di attacco che coinvolge un file .HLP, anche se solo come contenitore. Il malware è attaccato ad un file legittimo del sistema di aiuto in linea, imepaden.hlp, che continua a funzionare regolarmente. Viene poi creato un file .SYS che viene eseguito come servizio e si maschera da device driver e all’occorrenza riestrae dal file .hlp il carico malevolo “upgraderUI.exe”, che alla fine è una backdoor della famiglia Muster.e di cui già si sapeva, e che viene agganciato tramite la chiave del registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch.
Così se si cancella il file .exe e la chiave del registry, il file .sys ricrea il tutto, ed il fatto che di solito si escludono per questioni di efficienza i file .hlp dal novero dei file controllati dall’antivirus rende difficile che si scopra il meccanismo. Un bell’esempio di strategia da hacker.