freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

别拿陈旧的恶意软件不当威胁
2023-03-08 23:15:51
所属地 北京

攻击者通常都要保持恶意软件与攻击技术在最新,但不要因此认为陈旧的恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的攻击行动。MyDoom(也被称为 Novarg 与 Mimail)在 2004 年被首次发现,距今已经接近二十年了。

钓鱼邮件

典型的 MyDoom 钓鱼邮件通常以邮件退回为主题,电子邮件头会标明退回的原因与自定义的 Content-Type。邮件通常会携带一个附件,有时是压缩的,但也可以不压缩。

image.png-86.8kB钓鱼邮件

被发现的相关恶意邮件标题如下所示:

Click me baby, one more timeRETURNED MAIL: SEE TRANSCRIPT FOR DETAILSIsnydosj anhrayownizdiitisDelivery failedTestDelivery reports about your e-mailStatusReturned mail: Data format errorRETURNED MAIL: DATA FORMAT ERRORReturned mail: see transcript for detailsMail System Error - Returned Mail

邮件的恶意附件名如下所示:

document.ziptranscript.zipletter.zipattachment.zip.zipmessage.zipmessage.scrgolfasian.comreadme.scrmail.ziptext.cmd<random number>@7686f6a96.comfile.zipattachment.scr

典型附件

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名(.cmd、.scr、.com 等),这使得用户降低了警惕。

image.png-23.2kB隐藏文件扩展名的可执行文件

尽管文件扩展名不同,但该文件是一个 32 位可执行文件,并且使用 UPX 加壳。

image.png-183.6kB使用 UPX 加壳

UPX 壳历久弥新,由于攻击者并未定制修改,使用工具即可很容易地进行脱壳。

image.png-69.1kB进行 UPX 脱壳

MyDoom 分析

执行 MyDoom ,恶意样本会尝试修改 Windows 防火墙设置。

image.png-84.4kBRundll32.exe 正在修改防火墙设置

用户会看到一个弹出请求,要求给予可执行文件访问权限以通过防火墙进行通信。

image.png-190kB安全警告

接着,MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下,并将文件名改为良性的 Windows 应用程序名称。本例中,MyDoom 使用了 lsass.exe 作为名字。

image.png-253.8kB创建副本文件

恶意样本还会创建一个写满垃圾文本的文件,创建后就不会再次使用。

image.png-122.1kB创建垃圾文件

MyDoom 会通过端口 1042 进行通信,在多个可能的 C&C 域名中轮询,如下所示:

image.png-79.5kB通过 1042 端口进行通信

继承了遗产的 MyDoom,也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件,并且命名为非常有年代感的应用程序名称。

image.png-70.7kB各种 MyDoom 副本文件

应用程序的名称如下所示:

Kazaa LiteHarry PotterICQ 4 LiteWinRAR.v.3.2Winamp 5.0 (en) CrackWinamp 5.0 (en)

总结

尽管 MyDoom 已经走过了近二十年的路,但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件,也仍然十分危险。

IOC

5a6c1929f55baff2e786336c07f02c5d13194ff765073dcdfcae1b0cb53da5bc
1b1e2421dc3d96a8b9dd58d9cc74730c966250df7c33a1e0df50d983e674b7bc
6223e126a65ba888182d3369adacc7268bd78555f0426653f5b5dd963d4c31a4
ad37758c362a38a8718837ece40ed5699e40de11ed58a586c2a6a6d8bb5251bf
9fc0179c7407476ced89b6124fa52f10d178f3a07e3d50c860b1ced98fb77541
ad37758c362a38a8718837ece40ed5699e40de11ed58a586c2a6a6d8bb5251bf
1302161ca791b3fc01188582a075bbfcfeb5f28715ad527be0fe625ec452b1eb
9fc0179c7407476ced89b6124fa52f10d178f3a07e3d50c860b1ced98fb77541
1302161ca791b3fc01188582a075bbfcfeb5f28715ad527be0fe625ec452b1eb
31fd079696a071a48fd4a66588adb22e36dd96028792fb416bcee0f099d6e5cb
5e99396cf134fea102470525d5105afb697b9131d891990e2dc8c9e5e34f8165
009ac15d56c3a5149f10c833b5cc191eede4d33485cab7bc3dd94675a462608c
9fcf4b0e00d20060274861b41b2c13b68dfedbd2ac0012436b13960b2a570d4f
34d9e11e71fe18f9eb290461714826e1069a129d44db25c6c4fe581f883cbc07
6155f0562adfaa75cf46f674cf094d3f23c27b38c8009b6982f48ca4e77c95b1
92018aff6737899f94aed2461b6e4182383b6677be2e8d4f82098265d74fb913
eba7ec36cb9cc3c3677f5325ee9f755fefe885235849aede61a0b130a9f6255b
d438e3ec7bd0fa4b231a6a1704d89f117d3b6b6ba342915b4d095027d0fe4c90
a966f61a86dae4737f99d5b7668b0fcab3124125d2030faa08855ae12c9525ee
48c70041def3bf288f7f85ee96eb59a2f7d965963a66e0c86fb3c88b3e079386
2ddc70753893167b7b5d15c1e3cf6f22b6d8a0ee8a4aaea93c40655608f6fc75
20b372391f4d0fd9e4f69fc950456b557fab27f7bbbdeede36cff404e35614aa
7b596caceaf2e8a139c01eaf67e5e52ff3247ca6d20112ea9ce59a02a1a5bb7d
2744c29d98a144fabda0ac75264235cd82b798f3bd5a56fab2ad28ec218b94c8
eb5bfbb3be5300c1231a8ece93d239b7a02a4f308d7efe85d604f06d3aca57ad
8d4dcf463e7a69cd1b3039779d9d36c8a4669444b30d3261f876b7720bdb6752
5cb5efc8e0be0bf32eb73fbdaebedacf70cba946f5dfaea7166dcd0f4ca5989f
c12e27b30706dd1d11e5822285e209a187724148a682d178f1e2bc3f8d670ea7
2ddc70753893167b7b5d15c1e3cf6f22b6d8a0ee8a4aaea93c40655608f6fc75
6bbcc015c5a72b03601f8087c57024a7e74975dfb567b867c3404958e4239c9c
d599d4343fe3d831bcad8ea7305f050608a182f99636ea9e87c9400d19fae043
f5dc449255319cebd38ce255060a8019e0f5697de8ac31353c7d067d9e1218e6
11a86a2388c501773b52ae79ee1f7504caca6c25d835d40b8afc9ebe29c7a26d
942ef9da07de7d70c2efcfc20e375e6919a521d44ddabf9369042aea1553f712
10502c24bb63af929da22ec306f44f9e557b4e3bbf588afd1a7f190aa9840938
21ee754775ca9f76b2d18d0b87722ffa0c9ab0f676e4aa6ac4881dff580087ac
505b177a6c24c69a9fda1e78db7421fad4893d7c07e3cea91897decfbc4510be
ad29b1c0423a878758a444ad6bf38aa2ad276a98f0ca552b475d890db631f48b
113db96ddc72fb3300e981c7691cd202d3d0a5b097e84cd41eee6a54d868bf31
3df99ae8f2083419fd030c42ca6729b6e5319df6aca1204d7081ce6ea91c69da
04123ec908c4a60282fa35fed76a377b22a49b6f9bfaf5a81121fd7204b4b83d
4864f84ea0f6939751310a2cca43e71a57171f37679cb7853d29a083b1617a09
35bb66f1cc9e820ef50c22d0abb0f5f7ba8724bebb4a5a795e68790943742928
9bf413a9d9b3b17767f0a93450f834947475765b2fd1ecccaa943f8ce9d58082
9a2f837a8adb16632ce4ec3c8b02037a4e96e66e6737ef1169afb2e48e46aa6a
bfaf49a691792a29024a75119a9841caacefb306494ca011a42b46c12ca65895
59ad199d81590be7b83768227fe3a79b115f6c978b8715864ae0e22e5d324e36
ecda9c446dd6aa0018cd5fc9c99ba846484f8d2a81d7f97167d89b890e4d5c1a
e745cc1ae5a89a9f2b4b0eabbac342520703b03f68dafeb6d29194fe19e899e9
1f442b9ff3c9225e3eaa9c74d16b3a74117bb66e1d372ca15b6154d386a93e57
15.244.197.9:1042
141.240.203.6:1042
16.115.197.163:1042
67.120.102.206:1042
220.234.104.158:1042
166.77.123.68:1042
198.89.160.22:1042
15.98.11.12:1042
67.121.94.10:1042
15.24.69.27:1042
129.204.109.121:1042
70.241.87.215:1042
16.80.195.68:1042
15.9.79.129:1042
15.14.59.199:1042
216.114.194.30:1042
15.228.15.126:1042
16.100.121.101:1042
15.63.9.76:1042
65.6.113.38:1042
141.240.211.237:1042
16.83.199.36:1042
66.248.57.65:1042
15.59.127.133:1042
16.150.138.126:1042
141.154.253.115:1042
66.43.244.133:1042
68.158.45.83:1042
152.16.43.135:1042
129.81.101.242:1042
16.102.137.19:1042
16.102.153.27:1042
67.171.253.156:1042
15.75.188.252:1042
216.128.188.41:1042
16.126.107.216:1042
16.125.202.53:1042
162.28.185.188:1042
195.75.252.98:1042
68.223.45.7:1042
24.148.141.102:1042
141.240.190.28:1042
129.243.132.29:1042
148.193.135.228:1042
24.190.210.189:1042
12.166.196.8:1042
15.228.161.161:1042
220.234.104.158:1042

参考来源

Fortinet

# 蠕虫 # MyDoom
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录