MyDoom蠕虫病毒势头不减

摘要

Mydoom是一款远近闻名的计算机蠕虫病毒,最早于2004年初被发现。这一蠕虫病毒被列为十大最具破坏性的计算机病毒,已造成了380亿美元的损失。虽然现在已经过了鼎盛时期,但该病毒对网络安全仍有很大威胁。虽然没有其他恶意软件家族显眼,但在过去的几年里,mydoom仍然活动频繁,约占所有带有恶意软件附件邮件的1.1%。我们每月记录近数万个mydoom样本。绝大多数mydoom电子邮件来自中国IP地址。这些电子邮件发送给世界各地的接收者,该病毒主要针对高科技、批发、零售、医疗、教育和制造业。

本文记录了该病毒最近几年的活动,并详细记录了2019年前六个月的趋势。

2015-2018年间活动

Mydoom的传播方法是通过使用电子邮件。分析过程中将包含mydoom附件的电子邮件与包含其他类型恶意软件附件的电子邮件进行了比较。从2015年到2018年的四年时间里,1.1%的恶意邮件包含了Mydoom。在同一时期查看单个恶意软件样本时,mydoom恶意电子邮件占有量平均值为21.4%。

为什么Mydoom电子邮件的百分比要比Mydoom附件的百分比低得多?因为许多恶意的电子邮件活动都会向成百上千的收件人传递相同的恶意软件样本。但是mydoom是多态的,对于我们发现的每一封电子邮件,往往都有不同的文件散列。因此,虽然mydoom电子邮件的数量相对较低,但与通过电子邮件传播的其他恶意软件相比,样本的数量相对较高。下表包含了2015年至2018年的统计数据。


Mydoom 2019年活动

2019年前6个月mydoom活动显示,其与2018年相比平均值相似,电子邮件和恶意软件样本的比例略高。详见表2。

在一个月内出现了超过574个mydoom样本,下表3中记录了每月mydoom恶意软件样本数量变化。

在一个月内出现了超过574个mydoom样本,下表3中记录了每月mydoom恶意软件样本数量变化。



这些电子邮件来自哪里?2019年前六个月看到的前十个国家的IP地址是:

中国:349454封

美国:18590封

英国:10151封

越南:4426封

韩国:2575封

西班牙:2154封

俄罗斯:1007封

印度:657封

台湾:536封

哈萨克斯坦:388封


与来源国相比,目标国更为多样化,分布更为均匀。十大目标国家是:

中国:72713封

美国:56135封

台湾:5628封

德国:5503封

日本:5105封

新加坡:3097封

大韩民国:1892

罗马尼亚:1651封

澳大利亚:1295封

英国:1187封


在此期间,前十个针对领域是:

高科技:212641封

批发和零售:84996封

医疗保健:49782封

教育:37961封

制造:32429封

专业和法律服务:19401封

电信:4125封

财务:2259封

运输与物流:1595封

保险:796封

这些结果很大程度上偏向我们的客户群。然而,这一数据表明,中国和美国是大多数mydoom邮件的来源国,也是最被病毒针对的国家。

mydoom特征

多年来,mydoom具有相似的特征。mydoom的电子邮件通常伪装成未发送电子邮件的形式,主题行如下:


寄送邮件失败

电子邮件的邮寄报告

邮件系统错误–返回邮件

无法传递邮件

返回邮件:数据格式错误

退回邮件:详见传输单

但是,我们也经常看到主题行中有随机字母字符的mydoom电子邮件。mydoom电子邮件还使用其他主题行,如:Click me baby, one more timehelloHisay helo to my litl friend

图8、9和10显示了2019年7月mydoom电子邮件样本的截图。 


这些mydoom电子邮件的附件是可执行文件,或者是包含可执行文件的zip压缩包。MyDoom恶意软件会将受感染的Windows主机变成恶意垃圾邮件发送人,然后将MyDoom电子邮件发送到其他目标电子邮件地址。即使受感染的Windows主机没有邮件客户端,该病毒也会利用受感染主机发送邮件。MyDoom的另一个特点是试图通过TCP端口1042连接到其他IP地址。


在Windows7主机上,mydoom在用户的appdata\local\temp目录中将自己复制为lsass.exe,但该恶意软件在Windows注册表中不会一直存在。在Windows XP主机上,mydoom可执行文件在c:\windows\lsass.exe处生成自身副本,并通过hkey_local_machine hive中的Windows注册表持久存在,并在software\microsoft\windows\currentversion\run中使用名为traybar的项,如图13所示。


总结

第一次发现mydoom是在2004年,mydoom今天仍然活跃。这些年来尽管基于恶意软件的电子邮件中有存在mydoom的比例并不高,仍然有许多基础设施受到感染。

根据数据统计,mydoom感染的基础设施主要位于中国的IP地址,而美国则处于第二位。中国和美国都是mydoom电子邮件的主要针对国家。高科技是该病毒最针对的行业。

IOCs

2019年7月Mydoom Exe样本1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42

48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205

50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11

6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596

9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8

*本文作者:Kriston