Προσοχή κατά το άνοιγμα αρχείων της υπηρεσίας Windows Help, υπάρχει ένα κακόβουλο αρχείο μεταμφιεσμένο σε αρχείο Windows Help (hlp.) το οποίο μολύνει τον υπολογιστή με DarkShell Keylogger.
Ερευνητές της εταιρείας Sophos, εντόπισαν το αρχείο Amministrazione.hlp  σε μορφή Windows Help. (Amministrazione: σημαίνει Διοίκηση στα ιταλικά).

Σε περίπτωση που κάποιος χρήστης ανοίξει το αρχείο, θα εμφανιστεί το ακόλουθο μήνυμα:

“Help could not read the current Help file. Make sure there are no errors on the disk, or if the file is on a network drive, that the server is active. (163)”

Εκτός όμως από αυτό, αποσυμπιέζει και άλλα δύο αντίστοιχα αρχεία τα οποία ονομάζονται:

Windows Security Center.exe
RECYCLER.DLL

Σύμφωνα με τους ερευνητές, το αρχείο DLL από τα αρχεία που δημιουργούνται μόλις εκτελεστεί το malware είναι keylogger, το οποίο είναι μέρος του DarkShell Trojan. Ο keylogger καταγράφει οτιδήποτε πληκτρολογείται και τα αποθηκεύει σε ένα αρχείο που ονομάζεται “UserData.dat”. Μόλις συλλεχθούν τα δεδομένα, το κακόβουλο λογισμικό στέλνει το αρχείο στη διεύθυνση images.zyns.com.

Η εταιρεία παροχής λύσεων ασφάλειας, Sophos, εντόπισε το αρχείο ως Mal/HlpDrop-A, το Windows Security Center.exe ως Mal/DarkDrp-A και το RECYCLER.DLL ως Mal/DarkShell-A.

Πηγή: http://www.secnews.gr/