臭名昭著的MyDoon电脑蠕虫,早在2004年就被发现,位列十大破坏性电脑病毒之列,估计损失达380亿美元。虽然不再“光鲜亮丽”,但MyDoom在整体网络威胁环境中依然占有一席之地。例如,就在2017年,在PaloAltoNetworks的双月威胁报告中,我们记录了MyDoom在欧洲、中东和非洲的活动。在过去几年中,MyDoom一直保持相对稳定,平均约占我们看到的带有恶意软件附件的电子邮件的1.1%。此外,我们每个月都会记录数以千计的MyDoom样本。大多数MyDoom电子邮件来自在中国注册的IP地址,其次是来自美国的IP地址。这些邮件在全球范围内发送,目标主要是高科技行业、批发零售行业、医疗行业、教育行业和制造业。本文追踪MyDoom病毒近几年的活动情况,重点关注2019年上半年的发展趋势。MyDoom从2015年到2018年的活动MyDoom使用SMTP(简单邮件传输协议)通过电子邮件进行传播。我们比较了两组电子邮件,一组带有MyDoom附件,另一组带有任何其他类型的恶意软件附件,发现平均有1.1%的恶意电子邮件包含MyDoom。对于同期的单个恶意软件样本,MyDoom占所有单个恶意附件的21.4%。为什么MyDoom电子邮件的百分比远低于MyDoom附件?这是因为许多恶意电子邮件都携带相同的恶意样本并将其发送给成百上千的收件人。虽然MyDoom是多态的,但我们发现它对每封电子邮件都有不同的文件哈希。因此,虽然MyDoom邮件的数量相对较少,但与其他通过邮件传播的恶意样本相比,样本数量还是比较多的。表1为2015-2018年统计数据,表1:2015-2108年MyDoom统计数据图1.2015年MyDoom活跃度图2.2016年MyDoom活跃度图3.2017年MyDoom活跃度图4.MyDoom活跃度2018年MyDoom活动水平2019年上半年MyDoom的活动水平与2018年的平均水平基本持平,仅在电子邮件和恶意软件样本占比方面略有上升。见表2,表2,MyDoom2019年上半年数据图5。2019年上半年,MyDoom活跃了一个多月,MyDoom样本有574个。因此,下表3中MyDoom恶意软件样本总数与上表相同。在整个六个月期间,MyDoom样本的总数各不相同。表3MyDoom2019年上半年各月数据图6图表显示2019年1-6月MyDoom活跃度那么这些邮件是从哪里来的呢?2019年上半年,我们发现IP地址排名前十的国家和地区包括:●中国大陆:349,454条●美国:18,590条●英国:10,151条●越南:4,426条●韩国:2,575封●西班牙:2,154封●俄罗斯:1,007封●印度:657封邮件台湾:536封邮件哈萨克斯坦:388封邮件图7.2019年上半年出现MyDoom邮件的国家/地区目标国家更加多样化且分布均匀来源国家/地区排名前十的国家和地区是,●中国大陆:72,713封邮件●美国:56,135封邮件●台湾:5,628封邮件●德国:5,503封邮件●日本:5,105封邮件●新加坡:3,097封邮件●韩国:1,892封电子邮件●罗马尼亚:1,651封电子邮件●澳大利亚:1,295封电子邮件●英国:1,187封电子邮件●高科技:212,641封电子邮件●批发和零售:84,996封电子邮件●医疗:49,782封电子邮件●教育:37,961封电子邮件●制造业:32,429封电子邮件ls●专业和法律服务:19,401封●电信:4,125封●金融:2,259封●运输和物流:1,595封●保险:796封当然,上述结果很容易受到客户规模的影响。但这份数据显示,中国和美国既是大多数MyDoom的来源国,也是病毒的目标国。MyDoom的特点多年来,MyDoon的传播具有相同的特点。2019年2月,人工智能和网络安全公司Cylance对MyDoom样本进行了分析,发现目前的MyDoom样本都具有相似的特征。通常,通过邮件发送的MyDoom病毒会伪装成邮件发送失败后返回的报告。邮件标题为:●发送失败●邮件发送报告●邮件系统错误-邮件退回●可能收不到邮件●邮件退回:数据格式错误●邮件退回:详细信息参考记录此外,我们经常看到MyDoom邮件的标题字母排列混乱,部分标题还出现如下形式,●点击我宝贝,再来一次●你好●嗨●sayhellotomylitlfriend图9、图10、图11是2019年7月MyDoom电子邮件样本的屏幕截图,图9.2019年7月的MyDoom电子邮件样本(1)图10.2019年7月的MyDoom电子邮件样本(2)图11.2019年7月的MyDoom电子邮件样本(3)这些MyDoom邮件的附件都是可执行文件,或者压缩文件中包含可执行文件。MyDoom恶意软件可以作为恶意软件发送机器人感染Windows主机,然后将MyDoom电子邮件发送到不同的电子邮件地址。即使受感染的Windows主机没有电子邮件客户端,也会发送恶意电子邮件。此外,MyDoom的另一个特点是它会尝试通过TCP接口1042连接多个不同的IP地址。图12.2019年7月15日来自受MyDoom感染的主机的邮件流量图13.受MyDoom感染的主机尝试通过TCP端口1042连接在Windows7主机上,MyDoom自我复制并将其放置在AppData\Local\Temp路径中目录作为lsass.exe,但恶意软件无法在Windows注册表中保留。在WindowsXP主机上,MyDoom可执行文件通过HKEY_LOCAL_MACHINE路径下的注册表和一个名为Traybar的数据仓库工具文件,将自身复制到C:\Windows\lsass.exe路径下,如图14,图14:MyDoom在WindowXP主机上的持久性结论虽然早在2004年就被发现,但MyDoom至今仍然活跃,这足以证明它最初的破坏性应该有多么强大。多年来,大量基础设施仍然受到感染,我们继续在当今的威胁环境中看到MyDoom。此外,MyDoom病毒始终存在,尽管只有相对较小比例的恶意电子邮件包含它。根据对我们现有数据的分析,大多数受MyDoom感染的基础设施的IP地址都来自中国,美国紧随其后。尽管MyDoom病毒已经在全球蔓延并针对多个国家,但中国和美国仍然是接收MyDoom邮件的两个主要国家。高科技产业是其最大的目标。PaloAltoNetworks的威胁防御平台很容易检测到该恶意软件,从而有效地保护客户免受MyDoom的侵害。Meanwhile,AutoFocususerscanuseMyDoomtagstotrackMyDoomintent.入侵指标MyDoomEXESamplesfromJuly2019自2019年7月以来的MyDoom可执行文件样本1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b4248cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e20550dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e116a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b5969e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8
