賽門鐵克檢測到，這些目標性攻擊中所用的惡意WinHelp文件是Bloodhound.HLP.1和Bloodhound.HLP.2。WinHelp文件之所以被日益濫用為攻擊媒介，原因可能是攻擊者無需利用漏洞，即可使電腦攻擊得逞。攻擊者通過社會工程手段，企圖誘騙受害者打開目標電子郵件中的Windows幫助文件。該幫助文件的功能是允許調用Windows API，而Windows API又允許執行shell代碼，并安裝惡意有效負載文件。這項功能不是漏洞，而是設計使然。Microsoft已意識到該功能的潛在安全問題，因此，早在2006年，該公司就開始逐步淘汰WinHelp，不再對這一平臺提供支持。然而，WinHelp的逐步淡出，并未阻止攻擊者將其作為目標性攻擊的誘餌。

賽門鐵克還注意到，這種攻擊媒介在互聯網上呈上升趨勢，但是，我們已鎖定了兩種專門使用這種手段的主要威脅：Trojan.Ecltys和Backdoor.Barkiofork。據了解，這兩種威脅僅限于以工業和政府部門為目標的目標性攻擊。像以前一樣，我們建議您即時更新防病毒軟件，并采用最新的賽門鐵克技術，以確保擁有最佳的防護解決方案，從而將此類威脅拒之門外。

熱點病毒

病毒名：Trojan.Ransomlock.Y

病毒類型：Trojan

受影響系統：

Windows 98、Windows 95、Windows XP、Windows Server 2008、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Trojan.Ransomlock.Y是一個會鎖定桌面使電腦不可用的木馬病毒。為了解鎖，它會要求用戶付費。該木馬在執行時，會創建文件%CurrentFolder%\1.mp3，同時它會創建如下注冊表項以便其可隨系統啟動：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Updater" = "[PATH TO TROJAN EXECUTABLE]"

之后該木馬會創建下列注冊表子項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\mini HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\net

并刪除下列子項以便禁用安全模式啟動：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

該木馬會終止如下進程，使得其很難被阻止運行：

cmd.exe
msconfig.exe
regedit.exe
taskmgr.exe

同時它也會終止SharedAccess服務。該木馬會試圖連接下列任何一個遠程服務器：[http://]209.85.229.104/[RANDOM CHARACTERS]/pictu[REMOVED] [IP ADDRESS]/[RANDOM CHARACTERS]/lic.php然后根據服務器不同的響應完成下列操作：

·移除注冊表項；

·刪除mp3文件；

·停止運行。

之后，該木馬會完成下列操作：

·反復播放1.mp3音頻“FBI警告：你的計算機由于違反聯邦法律已經被鎖定”；

·顯示付費細節；

·告知用戶為鎖定的計算機付費的方法。