攻擊者通常都要保持惡意軟件與攻擊技術(shù)在最新，但不要因此認(rèn)為陳舊的惡意軟件就會(huì)銷聲匿跡。研究人員在近期就發(fā)現(xiàn)了使用 MyDoom 蠕蟲的攻擊行動(dòng)。MyDoom（也被稱為 Novarg 與 Mimail）在 2004 年被首次發(fā)現(xiàn)，距今已經(jīng)接近二十年了。

釣魚郵件

典型的 MyDoom 釣魚郵件通常以郵件退回為主題，電子郵件頭會(huì)標(biāo)明退回的原因與自定義的 Content-Type。郵件通常會(huì)攜帶一個(gè)附件，有時(shí)是壓縮的，但也可以不壓縮。

釣魚郵件

被發(fā)現(xiàn)的相關(guān)惡意郵件標(biāo)題如下所示：

Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail?

郵件的惡意附件名如下所示：

document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr

典型附件

釣魚郵件攜帶的 MyDoom 可執(zhí)行文件通常會(huì)帶有一個(gè)被 Windows 系統(tǒng)隱藏的擴(kuò)展名（.cmd、.scr、.com 等），這使得用戶降低了警惕。

隱藏文件擴(kuò)展名的可執(zhí)行文件

盡管文件擴(kuò)展名不同，但該文件是一個(gè) 32 位可執(zhí)行文件，并且使用 UPX 加殼。

使用 UPX 加殼

UPX 殼歷久彌新，由于攻擊者并未定制修改，使用工具即可很容易地進(jìn)行脫殼。

進(jìn)行 UPX 脫殼

MyDoom 分析

執(zhí)行 MyDoom ，惡意樣本會(huì)嘗試修改 Windows 防火墻設(shè)置。

Rundll32.exe 正在修改防火墻設(shè)置

用戶會(huì)看到一個(gè)彈出請求，要求給予可執(zhí)行文件訪問權(quán)限以通過防火墻進(jìn)行通信。

安全警告

接著，MyDoom 會(huì)將自身的副本放入 C:\Users\\AppData\Local\Temp 路徑下，并將文件名改為良性的 Windows 應(yīng)用程序名稱。本例中，MyDoom 使用了 lsass.exe 作為名字。

創(chuàng)建副本文件

惡意樣本還會(huì)創(chuàng)建一個(gè)寫滿垃圾文本的文件，創(chuàng)建后就不會(huì)再次使用。

創(chuàng)建垃圾文件

MyDoom 會(huì)通過端口 1042 進(jìn)行通信，在多個(gè)可能的 C&C 域名中輪詢，如下所示：

通過 1042 端口進(jìn)行通信

繼承了遺產(chǎn)的 MyDoom，也會(huì)通過文件共享實(shí)用程序來進(jìn)行傳播。它會(huì)在 C:\Program Files\Common Files\Microsoft Shared 文件夾中釋放多個(gè)文件，并且命名為非常有年代感的應(yīng)用程序名稱。

各種 MyDoom 副本文件

應(yīng)用程序的名稱如下所示：

Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)

總結(jié)

盡管 MyDoom 已經(jīng)走過了近二十年的路，但是 MyDoom 的最新感染與釣魚仍然沒有停止。即使是非常陳舊的惡意軟件，也仍然十分危險(xiǎn)。