十大电脑病毒之一:MyDoom病毒:2019依旧肆虐!
作者:威胁情报团队Unit 42来源:Palo Alto Networks(派拓网络)
臭名昭著的“迈登”电脑蠕虫病毒于2004年首次被发现,它是十大最具破坏性的电脑病毒之一,估计耗资380亿美元。尽管MyDoom已经淡出人们的视线,但它在网络威胁环境中仍有一席之地。例如,就在2017年,在帕洛阿尔托网络公司(Palo Alto Networks)的双月威胁报告中,我们记录了MyDoom在欧洲、中东和非洲的活动。
在过去几年里,MyDoom保持了相对稳定,平均1.1%的电子邮件带有恶意附件。此外,我们每个月都要记录数千个MyDoom的样本。MyDoom的大部分邮件来自在中国注册的IP地址,其次是美国。这些电子邮件被发送到世界各地,目标是高科技产业、批发和零售、医疗保健、教育和制造业。
其次,跟踪MyDoom病毒近年来的活动,重点分析MyDoom病毒2019年上半年的发展趋势。
MyDoom在2015-2018年
MyDoom是使用SMTP(简单邮件传输协议)通过电子邮件传播的。我们将带有MyDoom附件的电子邮件与带有任何其他类型恶意附件的电子邮件进行了比较,发现从2015年到2018年,带有MyDoom附件的恶意邮件平均占1.1%。同期个人恶意软件样本中,MyDoom占个人恶意附件总数的21.4%。
为什么MyDoom邮件比附加的MyDoom低那么多?这是因为许多恶意邮件都带有相同的恶意样本,并被发送给成百上千的收件人。MyDoom是多态的,我们发现它对每个邮件都有不同的文件哈希。因此,虽然MyDoom的邮件量相对较小,但是与其他通过邮件传播的恶意样本相比,它的数量相对较高。表1为2015 - 2018年统计数据。
表1:2015-2018年间的MyDoom统计数据
图1. 2015年MyDoom活跃水平
图2. 2016年MyDoom活跃水平
图3. 2017年MyDoom活跃水平
图4. 2018年MyDoom活跃水平
MyDoom在2019年的活动情况
2019年上半年MyDoom的活跃程度,与2018年全年平均水平基本持平,仅在邮件和恶意软件样本占比方面略微高一点。见表2,
表2, 2019年上半年MyDoom数据
图5. 2019年上半年MyDoom活跃水平
不止一个月里有574个MyDoom样本出现,因此下表3中的MyDoom恶意软件样本总数与上一表中整个六个月期间的MyDoom样本总数不同。
表3, 2019年上半年各个月MyDoom数据
图6. 图表显示2019年1月至6月间的MyDoom活跃水平
那么这些邮件来自于何处?在2019上半年中我们发现IP地址排在前十名的国家和地区包括,
● 中国大陆: 349,454 封邮件
● 美国: 18,590 封邮件
● 英国: 10,151 封邮件
● 越南: 4,426 封邮件
● 韩国: 2,575 封邮件
● 西班牙: 2,154 封邮件
● 俄罗斯: 1,007 封邮件
● 印度: 657 封邮件
● 台湾地区: 536 封邮件
● 哈萨克斯坦: 388 封邮件
图7. 2019年上半年MyDoom邮件出现的国家/地区
目标国家比来源国家更加多样且分布均匀,排在前十名的国家和地区分别是,
● 中国大陆: 72,713 封邮件
● 美国: 56,135 封邮件
● 台湾地区: 5,628 封邮件
● 德国: 5,503 封邮件
● 日本: 5,105 封邮件
● 新加坡: 3,097 封邮件
● 韩国: 1,892 封邮件
● 罗马尼亚: 1,651 封邮件
● 澳大利亚: 1,295 封邮件
● 英国: 1,187 封邮件
图8. 2019年上半年MyDoom邮件发送的目标国家和地区
那么,在这期间排在前十位易受攻击的行业是,
● 高科技: 212,641封邮件
● 批发零售:84,996 封邮件
● 医疗: 49,782 封邮件
● 教育: 37,961 封邮件
● 制造: 32,429 封邮件
● 专业及法律服务: 19,401 封邮件
● 电信: 4,125 封邮件
● 金融: 2,259 封邮件
● 运输及物流: 1,595 封邮件
● 保险: 796 封邮件
当然,上述结果很容易受到客户规模的影响。然而,这一数据表明,中国和美国都是MyDoom的来源国家,也是这种病毒的目标国家。
MyDoom的特性
多年来,MyDoon的传播具有相同的特点。2019年2月,人工智能和网络安全公司Cylance分析了MyDoom的样本,发现所有MyDoom的样本都具有相似的特征。一般来说,邮件发送的是一个MyDoom病毒,它会伪装成一个报告发送失败后返回的报告,你会看到带有如下标题:
● 发送失败
● 邮件发送报告
● 邮件系统错误 – 邮件返回
● 邮件可能无法收到
● 邮件返回:数据格式错误
● 邮件返回:详细信息参考记录
另外,我们还经常看到MyDoom邮件的标题字母排列组成顺序混乱,有时候会呈现出以下这种形式,
● Click me baby, one more time
● hello
● Hi
● say helo to my litl friend
以下图9、图10和图11,来自于2019年7月MyDoom 邮件样本的截屏,
图9. 2019年7月的一份MyDoom邮件样本 (1)
图10. 2019年7月的一份MyDoom邮件样本 (2)
图11. 2019年7月的一份MyDoom邮件样本 (3)
这些MyDoom邮件的附件为可执行文件,或者包含在zip包中。MyDoom恶意软件感染Windows主机后会将它变为恶意软件发送机器人,然后将MyDoom的消息发送到不同的电子邮件地址,即使被感染的Windows主机没有邮件客户端,它也会发送恶意消息。与此同时,MyDoom的另一个特性是尝试通过TCP接口1042,去连接多个不同的IP地址。
图12. 2019年7月15日来自某受MyDoom感染主机的邮件流量
图13. 某个受MyDoom感染的主机试图通过TCP端口1042进行连接
在Windows 7主机上,MyDoom复制自己并将其作为lsass放在路径AppData\Local\Temp directory as lsass.exe中。但该恶意软件在Windows注册表中是不可持续的。
在某一些Windows XP主机中,MyDoom自我复制然后按照C:\Windows\lsass.exe的路径进行保存,通过HKEY_LOCAL_MACHINE路径下的注册表和SOFTWARE\Microsoft\Windows\CurrentVersion\Run路径下名为Traybar的数据仓库工具进行实现,如图14所示。
图14:MyDoom在某个Window XP主机上的持续性
结论
虽然早在2004年就被发现了,但MyDoom至今仍然活跃,这证明了它的破坏力有多大。多年来,许多基础设施受到了影响,在今天的威胁环境中,我们继续能看到MyDoom的影响。此外,尽管含有MyDoom病毒的恶意邮件比例相对较小,但这种病毒始终存在。
根据我们掌握的数据分析,受MyDoom影响的基础设施IP地址大多来自中国,美国紧随其后。尽管MyDoom病毒在全球范围内传播,并指向许多国家,但中国和美国仍然是接收MyDoom电子邮件的两个主要国家。高科技产业是其最大的目标。
声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!
精彩在后面
Hi,我是超级盾
更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!
超级盾:从现在开始,我的每一句话都是认真的。
如果,你被攻击了,别打110、119、120,来这里看着就行。
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势。