别拿陈旧的别拿恶意软件不当威胁

作者：Avenger 2023-03-14 16:05:36安全 尽管 MyDoom 已经走过了近二十年的路，但是陈旧 MyDoom 的最新感染与钓鱼仍然没有停止。即使是恶当威非常陈旧的恶意软件，也仍然十分危险。意软

攻击者通常都要保持恶意软件与攻击技术在最新，别拿但不要因此认为陈旧的陈旧恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的恶当威攻击行动。MyDoom（也被称为 Novarg 与 Mimail）在 2004 年被首次发现，意软距今已经接近二十年了。别拿

钓鱼邮件

典型的陈旧 MyDoom 钓鱼邮件通常以邮件退回为主题，电子邮件头会标明退回的恶当威原因与自定义的 Content-Type。邮件通常会携带一个附件，意软有时是别拿压缩的，但也可以不压缩。陈旧

钓鱼邮件

被发现的恶当威相关恶意邮件标题如下所示：

Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail

邮件的恶意附件名如下所示：

document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr

典型附件

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名（.cmd、.scr、.com 等），这使得用户降低了警惕。

隐藏文件扩展名的可执行文件

尽管文件扩展名不同，但该文件是一个 32 位可执行文件，并且使用 UPX 加壳。

使用 UPX 加壳

UPX 壳历久弥新，由于攻击者并未定制修改，使用工具即可很容易地进行脱壳。

进行 UPX 脱壳

MyDoom 分析

执行 MyDoom ，恶意样本会尝试修改 Windows 防火墙设置。

Rundll32.exe 正在修改防火墙设置

用户会看到一个弹出请求，要求给予可执行文件访问权限以通过防火墙进行通信。

安全警告

接着，MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下，并将文件名改为良性的 Windows 应用程序名称。本例中，MyDoom 使用了 lsass.exe 作为名字。

创建副本文件

恶意样本还会创建一个写满垃圾文本的文件，创建后就不会再次使用。

创建垃圾文件

MyDoom 会通过端口 1042 进行通信，在多个可能的 C&C 域名中轮询，如下所示：

通过 1042 端口进行通信

继承了遗产的 MyDoom，也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件，并且命名为非常有年代感的应用程序名称。

各种 MyDoom 副本文件

应用程序的名称如下所示：

Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)

总结

尽管 MyDoom 已经走过了近二十年的路，但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件，也仍然十分危险。

责任编辑：赵宁宁 来源： FreeBuf.COM 恶意软件网络攻击

(责任编辑：娱乐)