别拿陈旧的恶意软件不当威胁

安全
尽管 MyDoom 已经走过了近二十年的路,但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件,也仍然十分危险。

攻击者通常都要保持恶意软件与攻击技术在最新,但不要因此认为陈旧的恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的攻击行动。MyDoom(也被称为 Novarg 与 Mimail)在 2004 年被首次发现,距今已经接近二十年了。

钓鱼邮件

典型的 MyDoom 钓鱼邮件通常以邮件退回为主题,电子邮件头会标明退回的原因与自定义的 Content-Type。邮件通常会携带一个附件,有时是压缩的,但也可以不压缩。

image.png-86.8kB

钓鱼邮件

被发现的相关恶意邮件标题如下所示:

Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail

邮件的恶意附件名如下所示:

document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr

典型附件

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名(.cmd、.scr、.com 等),这使得用户降低了警惕。

image.png-23.2kB

隐藏文件扩展名的可执行文件

尽管文件扩展名不同,但该文件是一个 32 位可执行文件,并且使用 UPX 加壳。

image.png-183.6kB

使用 UPX 加壳

UPX 壳历久弥新,由于攻击者并未定制修改,使用工具即可很容易地进行脱壳。

image.png-69.1kB

进行 UPX 脱壳

MyDoom 分析

执行 MyDoom ,恶意样本会尝试修改 Windows 防火墙设置。

image.png-84.4kB

Rundll32.exe 正在修改防火墙设置

用户会看到一个弹出请求,要求给予可执行文件访问权限以通过防火墙进行通信。

image.png-190kB

安全警告

接着,MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下,并将文件名改为良性的 Windows 应用程序名称。本例中,MyDoom 使用了 lsass.exe 作为名字。

image.png-253.8kB

创建副本文件

恶意样本还会创建一个写满垃圾文本的文件,创建后就不会再次使用。

image.png-122.1kB

创建垃圾文件

MyDoom 会通过端口 1042 进行通信,在多个可能的 C&C 域名中轮询,如下所示:

image.png-79.5kB

通过 1042 端口进行通信

继承了遗产的 MyDoom,也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件,并且命名为非常有年代感的应用程序名称。

image.png-70.7kB

各种 MyDoom 副本文件

应用程序的名称如下所示:

Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)

总结

尽管 MyDoom 已经走过了近二十年的路,但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件,也仍然十分危险。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2016-01-06 14:53:18

2020-01-14 18:20:48

OA选型CIO

2022-07-19 10:55:14

恶意软件安卓应用

2012-12-27 14:12:23

2013-12-12 16:23:58

2011-06-07 14:58:03

2014-11-07 11:20:19

2021-10-11 09:21:14

恶意软件黑客网络攻击

2023-10-18 12:18:47

2012-12-06 10:59:04

2019-05-13 08:36:22

无文件恶意软件

2013-03-15 15:37:40

2021-01-12 18:11:06

AI

2021-08-13 09:48:25

恶意软件移动威胁网络攻击

2019-11-20 15:09:25

安全威胁SSL加密

2013-01-18 16:14:36

2018-09-03 15:28:56

2021-01-12 12:05:47

恶意软件黑客网络攻击

2013-07-27 20:01:11

恶意软件

2017-11-09 13:41:30

点赞
收藏

51CTO技术栈公众号