攻击者通常都要保持恶意软件与攻击技术在最新,别拿但不要因此认为陈旧的陈旧恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的恶当威攻击行动。MyDoom(也被称为 Novarg 与 Mimail)在 2004 年被首次发现,意软距今已经接近二十年了。别拿
典型的陈旧 MyDoom 钓鱼邮件通常以邮件退回为主题,电子邮件头会标明退回的恶当威原因与自定义的 Content-Type。邮件通常会携带一个附件,意软有时是别拿压缩的,但也可以不压缩。陈旧
钓鱼邮件
被发现的恶当威相关恶意邮件标题如下所示:
Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail
邮件的恶意附件名如下所示:
document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr
钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名(.cmd、.scr、.com 等),这使得用户降低了警惕。
隐藏文件扩展名的可执行文件
尽管文件扩展名不同,但该文件是一个 32 位可执行文件,并且使用 UPX 加壳。
使用 UPX 加壳
UPX 壳历久弥新,由于攻击者并未定制修改,使用工具即可很容易地进行脱壳。
进行 UPX 脱壳
执行 MyDoom ,恶意样本会尝试修改 Windows 防火墙设置。
Rundll32.exe 正在修改防火墙设置
用户会看到一个弹出请求,要求给予可执行文件访问权限以通过防火墙进行通信。
安全警告
接着,MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下,并将文件名改为良性的 Windows 应用程序名称。本例中,MyDoom 使用了 lsass.exe 作为名字。
创建副本文件
恶意样本还会创建一个写满垃圾文本的文件,创建后就不会再次使用。
创建垃圾文件
MyDoom 会通过端口 1042 进行通信,在多个可能的 C&C 域名中轮询,如下所示:
通过 1042 端口进行通信
继承了遗产的 MyDoom,也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件,并且命名为非常有年代感的应用程序名称。
各种 MyDoom 副本文件
应用程序的名称如下所示:
Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)
尽管 MyDoom 已经走过了近二十年的路,但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件,也仍然十分危险。
责任编辑:赵宁宁 来源: FreeBuf.COM 恶意软件网络攻击(责任编辑:娱乐)
智升集团控股(08370.HK)发布业绩公告:全年公司拥有人应占亏损2700万元
19只个股股价逆市创历史新高成风景 大消费领域达9只占半壁江山
亚太卫星(01045.HK)年度纯利减少36.1% 每股盈利24.88港仙
避险情绪升温提振有色金属板块人气 推动有色金属产业结构调整和转型升级