别拿陈旧的恶意软件不当威胁

攻击者通常都要保持恶意软件与攻击技术在最新
，别拿但不要因此认为陈旧的陈旧恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的恶当威攻击行动
。MyDoom（也被称为 Novarg 与 Mimail）在 2004 年被首次发现，意软距今已经接近二十年了。别拿

钓鱼邮件

典型的陈旧 MyDoom 钓鱼邮件通常以邮件退回为主题  ，电子邮件头会标明退回的恶当威原因与自定义的 Content-Type 。建站模板邮件通常会携带一个附件 ，意软有时是别拿压缩的 ，但也可以不压缩。陈旧

钓鱼邮件

被发现的恶当威相关恶意邮件标题如下所示
：

复制Click me baby, one more timeRETURNED MAIL: SEE TRANSCRIPT FOR DETAILSIsnydosj anhrayownizdiitisDelivery failedTestDelivery reports about your e-mailStatusReturned mail: Data format errorRETURNED MAIL: DATA FORMAT ERRORReturned mail: see transcript for detailsMail System Error - Returned Mail1.2.3.4.5.6.7.8.9.10.11.12.

邮件的恶意附件名如下所示 ：

复制document.ziptranscript.zipletter.zipattachment.zip.zipmessage.zipmessage.scrgolfasian.comreadme.scrmail.ziptext.cmd<random number>@7686f6a96.comfile.zipattachment.scr1.2.3.4.5.6.7.8.9.10.11.12.13.14. 典型附件

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名（.cmd、.scr、源码下载意软.com 等），别拿这使得用户降低了警惕。陈旧

隐藏文件扩展名的恶当威可执行文件

尽管文件扩展名不同 ，但该文件是一个 32 位可执行文件，并且使用 UPX 加壳。

使用 UPX 加壳

UPX 壳历久弥新，由于攻击者并未定制修改 ，使用工具即可很容易地进行脱壳
。

进行 UPX 脱壳

MyDoom 分析

执行 MyDoom ，高防服务器恶意样本会尝试修改 Windows 防火墙设置
。

Rundll32.exe 正在修改防火墙设置

用户会看到一个弹出请求，要求给予可执行文件访问权限以通过防火墙进行通信。

安全警告

接着，MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下 ，并将文件名改为良性的 Windows 应用程序名称 。本例中，MyDoom 使用了 lsass.exe 作为名字。

创建副本文件

恶意样本还会创建一个写满垃圾文本的模板下载文件，创建后就不会再次使用
 。

创建垃圾文件

MyDoom 会通过端口 1042 进行通信，在多个可能的 C&C 域名中轮询，如下所示：

通过 1042 端口进行通信

继承了遗产的 MyDoom ，也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件，并且命名为非常有年代感的应用程序名称。免费模板

各种 MyDoom 副本文件

应用程序的名称如下所示：

复制Kazaa LiteHarry PotterICQ 4 LiteWinRAR.v.3.2Winamp 5.0 (en) CrackWinamp 5.0 (en)1.2.3.4.5.6. 总结

尽管 MyDoom 已经走过了近二十年的路 ，但是 MyDoom 的最新感染与钓鱼仍然没有停止 。即使是非常陈旧的恶意软件，也仍然十分危险。

源码库