攻擊者通常都要保持惡意軟件與攻擊技術在最新，但不要因此認為陳舊的惡意軟件就會銷聲匿跡。研究人員在近期就發現了使用 MyDoom 蠕蟲的攻擊行動。MyDoom（也被稱為 Novarg 與 Mimail）在 2004 年被首次發現，距今已經接近二十年了。

釣魚郵件

典型的 MyDoom 釣魚郵件通常以郵件退回為主題，電子郵件頭會標明退回的原因與自定義的 Content-Type。郵件通常會攜帶一個附件，有時是壓縮的，但也可以不壓縮。

釣魚郵件

被發現的相關惡意郵件標題如下所示：

Click me baby, one more time
RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
Isnydosj anhr
ayownizdiitis
Delivery failed
Test
Delivery reports about your e-mail
Status
Returned mail: Data format error
RETURNED MAIL: DATA FORMAT ERROR
Returned mail: see transcript for details
Mail System Error - Returned Mail?

郵件的惡意附件名如下所示：

document.zip
transcript.zip
letter.zip
attachment.zip
.zip
message.zip
message.scr
golfasian.com
readme.scr
mail.zip
text.cmd
<random number>@7686f6a96.com
file.zip
attachment.scr

典型附件

釣魚郵件攜帶的 MyDoom 可執行文件通常會帶有一個被 Windows 系統隱藏的擴展名（.cmd、.scr、.com 等），這使得用戶降低了警惕。

隱藏文件擴展名的可執行文件

盡管文件擴展名不同，但該文件是一個 32 位可執行文件，并且使用 UPX 加殼。

使用 UPX 加殼

UPX 殼歷久彌新，由于攻擊者并未定制修改，使用工具即可很容易地進行脫殼。

進行 UPX 脫殼

MyDoom 分析

執行 MyDoom ，惡意樣本會嘗試修改 Windows 防火墻設置。

Rundll32.exe 正在修改防火墻設置

用戶會看到一個彈出請求，要求給予可執行文件訪問權限以通過防火墻進行通信。

安全警告

接著，MyDoom 會將自身的副本放入 C:\Users\\AppData\Local\Temp 路徑下，并將文件名改為良性的 Windows 應用程序名稱。本例中，MyDoom 使用了 lsass.exe 作為名字。

創建副本文件

惡意樣本還會創建一個寫滿垃圾文本的文件，創建后就不會再次使用。

創建垃圾文件

MyDoom 會通過端口 1042 進行通信，在多個可能的 C&C 域名中輪詢，如下所示：

通過 1042 端口進行通信

繼承了遺產的 MyDoom，也會通過文件共享實用程序來進行傳播。它會在 C:\Program Files\Common Files\Microsoft Shared 文件夾中釋放多個文件，并且命名為非常有年代感的應用程序名稱。

各種 MyDoom 副本文件

應用程序的名稱如下所示：

Kazaa Lite
Harry Potter
ICQ 4 Lite
WinRAR.v.3.2
Winamp 5.0 (en) Crack
Winamp 5.0 (en)

總結

盡管 MyDoom 已經走過了近二十年的路，但是 MyDoom 的最新感染與釣魚仍然沒有停止。即使是非常陳舊的惡意軟件，也仍然十分危險。