攻击者通常都要保持恶意软件与攻击技术在最新,但不要因此认为陈旧的恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的攻击行动。MyDoom(也被称为 Novarg 与 Mimail)在 2004 年被首次发现,距今已经接近二十年了。
钓鱼邮件
典型的 MyDoom 钓鱼邮件通常以邮件退回为主题,电子邮件头会标明退回的原因与自定义的 Content-Type。邮件通常会携带一个附件,有时是压缩的,但也可以不压缩。
钓鱼邮件
被发现的相关恶意邮件标题如下所示:
邮件的恶意附件名如下所示:
典型附件
钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名(.cmd、.scr、.com 等),这使得用户降低了警惕。
隐藏文件扩展名的可执行文件
尽管文件扩展名不同,但该文件是一个 32 位可执行文件,并且使用 UPX 加壳。
使用 UPX 加壳
UPX 壳历久弥新,由于攻击者并未定制修改,使用工具即可很容易地进行脱壳。
进行 UPX 脱壳
MyDoom 分析
执行 MyDoom ,恶意样本会尝试修改 Windows 防火墙设置。
Rundll32.exe 正在修改防火墙设置
用户会看到一个弹出请求,要求给予可执行文件访问权限以通过防火墙进行通信。
安全警告
接着,MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下,并将文件名改为良性的 Windows 应用程序名称。本例中,MyDoom 使用了 lsass.exe 作为名字。
创建副本文件
恶意样本还会创建一个写满垃圾文本的文件,创建后就不会再次使用。
创建垃圾文件
MyDoom 会通过端口 1042 进行通信,在多个可能的 C&C 域名中轮询,如下所示:
通过 1042 端口进行通信
继承了遗产的 MyDoom,也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件,并且命名为非常有年代感的应用程序名称。
各种 MyDoom 副本文件
应用程序的名称如下所示:
总结
尽管 MyDoom 已经走过了近二十年的路,但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件,也仍然十分危险。
