網絡安全公司Trustwave的安全團隊SpiderLabs警告Windows用戶，一個名為Vidar的新惡意軟件活動將自己偽裝成微軟支持或幫助文件。因此，毫無戒心的用戶可能很容易成為受害者，而Vidar是一個偷竊數據的惡意軟件，可以竊取被利用者的信息。

微軟編譯的HTML幫助（CHM）文件雖然現在已經不常見，但總是會有人希望尋求“幫助”，這個惡意的Vidar CHM惡意軟件以ISO格式通過電子郵件散播，該ISO被偽裝成一個”require.doc”文件。

在這個request.doc ISO文件中包含幾個惡意文件，一個被稱為”pss10r.chm”的微軟幫助文件（CHM）和一個被稱為”app.exe”的可執行文件。一旦用戶被騙提取這些文件，用戶的系統就會被破壞。前者即”pss10r.chm”實際上是一個一般的合法文件，但附帶的exe文件卻是臭名昭著的Vidar，Vidar是偷竊者惡意軟件，從瀏覽器等地方竊取信息和數據。該活動類似於我們在2月份了解到的RedLine惡意軟件活動。

下面是一個合法的”pss10r.chm”與這個Vitar活動中使用的惡意文件的對比圖片。

惡意CHM的目的是運行另一個文件，即包含Vidar惡意軟件的app.exe，以成功傳遞惡意軟件載荷。

你可以在官方博客文章中找到更多技術細節：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/vidar-malware-launcher-concealed-in-help-file/