網(wǎng)絡(luò)安全公司Trustwave的安全團(tuán)隊(duì)SpiderLabs警告Windows用戶，一個(gè)名為Vidar的新惡意軟件活動(dòng)將自己偽裝成微軟支持或幫助文件。因此，毫無(wú)戒心的用戶可能很容易成為受害者，而Vidar是一個(gè)偷竊數(shù)據(jù)的惡意軟件，可以竊取被利用者的信息。

微軟編譯的HTML幫助（CHM）文件雖然現(xiàn)在已經(jīng)不常見(jiàn)，但總是會(huì)有人希望尋求“幫助”，這個(gè)惡意的Vidar CHM惡意軟件以ISO格式通過(guò)電子郵件散播，該ISO被偽裝成一個(gè)"require.doc"文件。

在這個(gè) request.doc ISO文件中包含幾個(gè)惡意文件，一個(gè)被稱為"pss10r.chm"的微軟幫助文件（CHM）和一個(gè)被稱為"app.exe"的可執(zhí)行文件。一旦用戶被騙提取這些文件，用戶的系統(tǒng)就會(huì)被破壞。前者即"pss10r.chm"實(shí)際上是一個(gè)一般的合法文件，但附帶的exe文件卻是臭名昭著的Vidar，Vidar是偷竊者惡意軟件，從瀏覽器等地方竊取信息和數(shù)據(jù)。該活動(dòng)類(lèi)似于我們?cè)?月份了解到的RedLine惡意軟件活動(dòng)。

下面是一個(gè)合法的"pss10r.chm"與這個(gè)Vitar活動(dòng)中使用的惡意文件的對(duì)比圖片。

惡意CHM的目的是運(yùn)行另一個(gè)文件，即包含Vidar惡意軟件的app.exe，以成功傳遞惡意軟件載荷。

你可以在官方博客文章中找到更多技術(shù)細(xì)節(jié)：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vidar-malware-launcher-concealed-in-help-file/

（舉報(bào)）