赛门铁克检测到,这些目标性攻击中所用的恶意WinHelp文件是Bloodhound.HLP.1和Bloodhound.HLP.2。WinHelp文件之所以被日益滥用为攻击媒介,原因可能是攻击者无需利用漏洞,即可使电脑攻击得逞。攻击者通过社会工程手段,企图诱骗受害者打开目标电子邮件中的Windows帮助文件。该帮助文件的功能是允许调用Windows API,而Windows API又允许执行shell代码,并安装恶意有效负载文件。这项功能不是漏洞,而是设计使然。Microsoft已意识到该功能的潜在安全问题,因此,早在2006年,该公司就开始逐步淘汰WinHelp,不再对这一平台提供支持。然而,WinHelp的逐步淡出,并未阻止攻击者将其作为目标性攻击的诱饵。
赛门铁克还注意到,这种攻击媒介在互联网上呈上升趋势,但是,我们已锁定了两种专门使用这种手段的主要威胁:Trojan.Ecltys和Backdoor.Barkiofork。据了解,这两种威胁仅限于以工业和政府部门为目标的目标性攻击。像以前一样,我们建议您即时更新防病毒软件,并采用最新的赛门铁克技术,以确保拥有最佳的防护解决方案,从而将此类威胁拒之门外。
热点病毒
病毒名:Trojan.Ransomlock.Y
病毒类型:Trojan
受影响系统:
Windows 98、Windows 95、Windows XP、Windows Server 2008、Windows 7、Windows Me、Windows Vista、Windows NT、Windows Server 2003、Windows 2000
Trojan.Ransomlock.Y是一个会锁定桌面使电脑不可用的木马病毒。为了解锁,它会要求用户付费。该木马在执行时,会创建文件%CurrentFolder%\1.mp3,同时它会创建如下注册表项以便其可随系统启动:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft Updater" = "[PATH TO TROJAN EXECUTABLE]"
之后该木马会创建下列注册表子项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\mini HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\net
并删除下列子项以便禁用安全模式启动:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
该木马会终止如下进程,使得其很难被阻止运行:
同时它也会终止SharedAccess服务。该木马会试图连接下列任何一个远程服务器:[http://]209.85.229.104/[RANDOM CHARACTERS]/pictu[REMOVED] [IP ADDRESS]/[RANDOM CHARACTERS]/lic.php然后根据服务器不同的响应完成下列操作:
·移除注册表项;
·删除mp3文件;
·停止运行。
之后,该木马会完成下列操作:
·反复播放1.mp3音频“FBI警告:你的计算机由于违反联邦法律已经被锁定”;
·显示付费细节;
·告知用户为锁定的计算机付费的方法。
