攻擊者通常都要保持惡意軟件與攻擊技術(shù)在最新，但不要因此認(rèn)為陳舊的惡意軟件就會銷聲匿跡。研究人員在近期就發(fā)現(xiàn)了使用 MyDoom 蠕蟲的攻擊行動。MyDoom（也被稱為 Novarg 與 Mimail）在 2004 年被首次發(fā)現(xiàn)，距今已經(jīng)接近二十年了。

釣魚郵件

典型的 MyDoom 釣魚郵件通常以郵件退回為主題，電子郵件頭會標(biāo)明退回的原因與自定義的 Content-Type。郵件通常會攜帶一個附件，有時是壓縮的，但也可以不壓縮。

釣魚郵件

被發(fā)現(xiàn)的相關(guān)惡意郵件標(biāo)題如下所示：

Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail?

郵件的惡意附件名如下所示：

document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr

典型附件

釣魚郵件攜帶的 MyDoom 可執(zhí)行文件通常會帶有一個被 Windows 系統(tǒng)隱藏的擴展名（.cmd、.scr、.com 等），這使得用戶降低了警惕。

隱藏文件擴展名的可執(zhí)行文件

盡管文件擴展名不同，但該文件是一個 32 位可執(zhí)行文件，并且使用 UPX 加殼。

使用 UPX 加殼

UPX 殼歷久彌新，由于攻擊者并未定制修改，使用工具即可很容易地進(jìn)行脫殼。

進(jìn)行 UPX 脫殼

MyDoom 分析

執(zhí)行 MyDoom ，惡意樣本會嘗試修改 Windows 防火墻設(shè)置。

Rundll32.exe 正在修改防火墻設(shè)置

用戶會看到一個彈出請求，要求給予可執(zhí)行文件訪問權(quán)限以通過防火墻進(jìn)行通信。

安全警告

接著，MyDoom 會將自身的副本放入 C:\Users\\AppData\Local\Temp 路徑下，并將文件名改為良性的 Windows 應(yīng)用程序名稱。本例中，MyDoom 使用了 lsass.exe 作為名字。

創(chuàng)建副本文件

惡意樣本還會創(chuàng)建一個寫滿垃圾文本的文件，創(chuàng)建后就不會再次使用。

創(chuàng)建垃圾文件

MyDoom 會通過端口 1042 進(jìn)行通信，在多個可能的 C&C 域名中輪詢，如下所示：

通過 1042 端口進(jìn)行通信

繼承了遺產(chǎn)的 MyDoom，也會通過文件共享實用程序來進(jìn)行傳播。它會在 C:\Program Files\Common Files\Microsoft Shared 文件夾中釋放多個文件，并且命名為非常有年代感的應(yīng)用程序名稱。

各種 MyDoom 副本文件

應(yīng)用程序的名稱如下所示：

Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)

總結(jié)

盡管 MyDoom 已經(jīng)走過了近二十年的路，但是 MyDoom 的最新感染與釣魚仍然沒有停止。即使是非常陳舊的惡意軟件，也仍然十分危險。