攻击者通常都要保持恶意软件与攻击技术在最新,但不要因此认为陈旧的恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的攻击行动。MyDoom(也被称为 Novarg 与 Mimail)在 2004 年被首次发现,距今已经接近二十年了。
钓鱼邮件
典型的 MyDoom 钓鱼邮件通常以邮件退回为主题,电子邮件头会标明退回的原因与自定义的 Content-Type。邮件通常会携带一个附件,有时是压缩的,但也可以不压缩。
钓鱼邮件
被发现的相关恶意邮件标题如下所示:
Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail
邮件的恶意附件名如下所示:
document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr
典型附件
钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名(.cmd、.scr、.com 等),这使得用户降低了警惕。
隐藏文件扩展名的可执行文件
尽管文件扩展名不同,但该文件是一个 32 位可执行文件,并且使用 UPX 加壳。
使用 UPX 加壳
UPX 壳历久弥新,由于攻击者并未定制修改,使用工具即可很容易地进行脱壳。
进行 UPX 脱壳
MyDoom 分析
执行 MyDoom ,恶意样本会尝试修改 Windows 防火墙设置。
Rundll32.exe 正在修改防火墙设置
用户会看到一个弹出请求,要求给予可执行文件访问权限以通过防火墙进行通信。
安全警告
接着,MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下,并将文件名改为良性的 Windows 应用程序名称。本例中,MyDoom 使用了 lsass.exe 作为名字。
创建副本文件
恶意样本还会创建一个写满垃圾文本的文件,创建后就不会再次使用。
创建垃圾文件
MyDoom 会通过端口 1042 进行通信,在多个可能的 C&C 域名中轮询,如下所示:
通过 1042 端口进行通信
继承了遗产的 MyDoom,也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件,并且命名为非常有年代感的应用程序名称。
各种 MyDoom 副本文件
应用程序的名称如下所示:
Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)
总结
尽管 MyDoom 已经走过了近二十年的路,但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件,也仍然十分危险。
IOC
5a6c1929f55baff2e786336c07f02c5d13194ff765073dcdfcae1b0cb53da5bc
1b1e2421dc3d96a8b9dd58d9cc74730c966250df7c33a1e0df50d983e674b7bc
6223e126a65ba888182d3369adacc7268bd78555f0426653f5b5dd963d4c31a4
ad37758c362a38a8718837ece40ed5699e40de11ed58a586c2a6a6d8bb5251bf
9fc0179c7407476ced89b6124fa52f10d178f3a07e3d50c860b1ced98fb77541
ad37758c362a38a8718837ece40ed5699e40de11ed58a586c2a6a6d8bb5251bf
1302161ca791b3fc01188582a075bbfcfeb5f28715ad527be0fe625ec452b1eb
9fc0179c7407476ced89b6124fa52f10d178f3a07e3d50c860b1ced98fb77541
1302161ca791b3fc01188582a075bbfcfeb5f28715ad527be0fe625ec452b1eb
31fd079696a071a48fd4a66588adb22e36dd96028792fb416bcee0f099d6e5cb
5e99396cf134fea102470525d5105afb697b9131d891990e2dc8c9e5e34f8165
009ac15d56c3a5149f10c833b5cc191eede4d33485cab7bc3dd94675a462608c
9fcf4b0e00d20060274861b41b2c13b68dfedbd2ac0012436b13960b2a570d4f
34d9e11e71fe18f9eb290461714826e1069a129d44db25c6c4fe581f883cbc07
6155f0562adfaa75cf46f674cf094d3f23c27b38c8009b6982f48ca4e77c95b1
92018aff6737899f94aed2461b6e4182383b6677be2e8d4f82098265d74fb913
eba7ec36cb9cc3c3677f5325ee9f755fefe885235849aede61a0b130a9f6255b
d438e3ec7bd0fa4b231a6a1704d89f117d3b6b6ba342915b4d095027d0fe4c90
a966f61a86dae4737f99d5b7668b0fcab3124125d2030faa08855ae12c9525ee
48c70041def3bf288f7f85ee96eb59a2f7d965963a66e0c86fb3c88b3e079386
2ddc70753893167b7b5d15c1e3cf6f22b6d8a0ee8a4aaea93c40655608f6fc75
20b372391f4d0fd9e4f69fc950456b557fab27f7bbbdeede36cff404e35614aa
7b596caceaf2e8a139c01eaf67e5e52ff3247ca6d20112ea9ce59a02a1a5bb7d
2744c29d98a144fabda0ac75264235cd82b798f3bd5a56fab2ad28ec218b94c8
eb5bfbb3be5300c1231a8ece93d239b7a02a4f308d7efe85d604f06d3aca57ad
8d4dcf463e7a69cd1b3039779d9d36c8a4669444b30d3261f876b7720bdb6752
5cb5efc8e0be0bf32eb73fbdaebedacf70cba946f5dfaea7166dcd0f4ca5989f
c12e27b30706dd1d11e5822285e209a187724148a682d178f1e2bc3f8d670ea7
2ddc70753893167b7b5d15c1e3cf6f22b6d8a0ee8a4aaea93c40655608f6fc75
6bbcc015c5a72b03601f8087c57024a7e74975dfb567b867c3404958e4239c9c
d599d4343fe3d831bcad8ea7305f050608a182f99636ea9e87c9400d19fae043
f5dc449255319cebd38ce255060a8019e0f5697de8ac31353c7d067d9e1218e6
11a86a2388c501773b52ae79ee1f7504caca6c25d835d40b8afc9ebe29c7a26d
942ef9da07de7d70c2efcfc20e375e6919a521d44ddabf9369042aea1553f712
10502c24bb63af929da22ec306f44f9e557b4e3bbf588afd1a7f190aa9840938
21ee754775ca9f76b2d18d0b87722ffa0c9ab0f676e4aa6ac4881dff580087ac
505b177a6c24c69a9fda1e78db7421fad4893d7c07e3cea91897decfbc4510be
ad29b1c0423a878758a444ad6bf38aa2ad276a98f0ca552b475d890db631f48b
113db96ddc72fb3300e981c7691cd202d3d0a5b097e84cd41eee6a54d868bf31
3df99ae8f2083419fd030c42ca6729b6e5319df6aca1204d7081ce6ea91c69da
04123ec908c4a60282fa35fed76a377b22a49b6f9bfaf5a81121fd7204b4b83d
4864f84ea0f6939751310a2cca43e71a57171f37679cb7853d29a083b1617a09
35bb66f1cc9e820ef50c22d0abb0f5f7ba8724bebb4a5a795e68790943742928
9bf413a9d9b3b17767f0a93450f834947475765b2fd1ecccaa943f8ce9d58082
9a2f837a8adb16632ce4ec3c8b02037a4e96e66e6737ef1169afb2e48e46aa6a
bfaf49a691792a29024a75119a9841caacefb306494ca011a42b46c12ca65895
59ad199d81590be7b83768227fe3a79b115f6c978b8715864ae0e22e5d324e36
ecda9c446dd6aa0018cd5fc9c99ba846484f8d2a81d7f97167d89b890e4d5c1a
e745cc1ae5a89a9f2b4b0eabbac342520703b03f68dafeb6d29194fe19e899e9
1f442b9ff3c9225e3eaa9c74d16b3a74117bb66e1d372ca15b6154d386a93e57
15.244.197.9:1042
141.240.203.6:1042
16.115.197.163:1042
67.120.102.206:1042
220.234.104.158:1042
166.77.123.68:1042
198.89.160.22:1042
15.98.11.12:1042
67.121.94.10:1042
15.24.69.27:1042
129.204.109.121:1042
70.241.87.215:1042
16.80.195.68:1042
15.9.79.129:1042
15.14.59.199:1042
216.114.194.30:1042
15.228.15.126:1042
16.100.121.101:1042
15.63.9.76:1042
65.6.113.38:1042
141.240.211.237:1042
16.83.199.36:1042
66.248.57.65:1042
15.59.127.133:1042
16.150.138.126:1042
141.154.253.115:1042
66.43.244.133:1042
68.158.45.83:1042
152.16.43.135:1042
129.81.101.242:1042
16.102.137.19:1042
16.102.153.27:1042
67.171.253.156:1042
15.75.188.252:1042
216.128.188.41:1042
16.126.107.216:1042
16.125.202.53:1042
162.28.185.188:1042
195.75.252.98:1042
68.223.45.7:1042
24.148.141.102:1042
141.240.190.28:1042
129.243.132.29:1042
148.193.135.228:1042
24.190.210.189:1042
12.166.196.8:1042
15.228.161.161:1042
220.234.104.158:1042