赛门铁克检测到，这些目标性攻击中所用的恶意WinHelp文件是Bloodhound.HLP.1和Bloodhound.HLP.2。WinHelp文件之所以被日益滥用为攻击媒介，原因可能是攻击者无需利用漏洞，即可使电脑攻击得逞。攻击者通过社会工程手段，企图诱骗受害者打开目标电子邮件中的Windows帮助文件。该帮助文件的功能是允许调用Windows API，而Windows API又允许执行shell代码，并安装恶意有效负载文件。这项功能不是漏洞，而是设计使然。Microsoft已意识到该功能的潜在安全问题，因此，早在2006年，该公司就开始逐步淘汰WinHelp，不再对这一平台提供支持。然而，WinHelp的逐步淡出，并未阻止攻击者将其作为目标性攻击的诱饵。

赛门铁克还注意到，这种攻击媒介在互联网上呈上升趋势，但是，我们已锁定了两种专门使用这种手段的主要威胁：Trojan.Ecltys和Backdoor.Barkiofork。据了解，这两种威胁仅限于以工业和政府部门为目标的目标性攻击。像以前一样，我们建议您即时更新防病毒软件，并采用最新的赛门铁克技术，以确保拥有最佳的防护解决方案，从而将此类威胁拒之门外。

热点病毒

病毒名：Trojan.Ransomlock.Y

病毒类型：Trojan

受影响系统：

Windows 98、Windows 95、Windows XP、Windows Server 2008、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000

Trojan.Ransomlock.Y是一个会锁定桌面使电脑不可用的木马病毒。为了解锁，它会要求用户付费。该木马在执行时，会创建文件%CurrentFolder%\1.mp3，同时它会创建如下注册表项以便其可随系统启动：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Updater" = "[PATH TO TROJAN EXECUTABLE]"

之后该木马会创建下列注册表子项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\mini HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\net

并删除下列子项以便禁用安全模式启动：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

该木马会终止如下进程，使得其很难被阻止运行：

cmd.exe
msconfig.exe
regedit.exe
taskmgr.exe

同时它也会终止SharedAccess服务。该木马会试图连接下列任何一个远程服务器：[http://]209.85.229.104/[RANDOM CHARACTERS]/pictu[REMOVED] [IP ADDRESS]/[RANDOM CHARACTERS]/lic.php然后根据服务器不同的响应完成下列操作：

·移除注册表项；

·删除mp3文件；

·停止运行。

之后，该木马会完成下列操作：

·反复播放1.mp3音频“FBI警告：你的计算机由于违反联邦法律已经被锁定”；

·显示付费细节；

·告知用户为锁定的计算机付费的方法。