MyDoom 2019年依旧活泼,台湾遭到要挟环球第三

 

MyDoom 已成为最具破坏性的电脑病毒,预计丧失达380亿美圆(台币1兆1千4百万元)。只管如今已过了它的全盛时代, MyDoom 仍继承存在于网路要挟范畴。像在2017年,Palo Alto Networks 特别在双月度要挟报告中记载 MyDoom 在EMEA(中东和非洲)区域的运动。

MyDoom 在过去几年相对来说坚持着一致性,均匀也许1.1%的电子邮件中会发明歹意软体附件。我们每月都邑延续记载不计其数的 MyDoom 样本。绝大多数 MyDoom 电子邮件位址来自中国,而美国则排在第二位。这些电子邮件被发送到全球,重要针对高科技,批发和零售,医疗保健,教诲和制造业。

MyDoom运动:2015年至2018年

虽然没有其他歹意软体系列那末凸起,但近年来我们发明前后表现一致的 MyDoom 样本。MyDoom 的流传要领是透过电子邮件运用 SMTP。我们将包括 MyDoom 附件的电子邮件与包括其他歹意软体附件的电子邮件举行比较。从2015年至2018年的四年时代,均匀每1.1%的歹意电子邮件中包括 MyDoom。在统一时代检察各个单一歹意软体样本时, MyDoom 均匀占一切歹意软体也高达21.4%。

为何 MyDoom 电子邮件的百分比远低于 MyDoom 附件的百分比?由于很多歹意电子邮件,都邑透过运动讯息挟带雷同的歹意样本给不计其数的收件人。MyDoom 是多态性的,这会致使在我们发明的每封电子邮件中有着差别的散列档案。因而,虽然电子邮件的数目相对较少,但与经由过程电子邮件散布的其他歹意软体比拟,样本数目相对较高。表1包括2015年至2018年的统计数据。

年份

MyDoom  电子邮件

包括歹意软体的电子邮件总数

MyDoom 电子邮件的百分比

MyDoom 样本

歹意软体总样本

MyDoom 样本的百分比

2015

574,674

27,599,631

2.1%

87,119

615,386

14.2%

2016

589,107

77,575,376

0.8%

142,659

960,517

14.9%

2017

309,978

79,599,864

0.4%

95,115

340,433

27.9%

2018

663,212

64,919,295

1.0%

150,075

528,306

28.4%

▲表1. 2015年至2018年的 MyDoom 统计数据。 

2015年 MyDoom 活泼水平。(左:2015包括歹意软体的电子邮件总数;右:2015歹意软体样本)

2016年 MyDoom 活泼水平。(左:2016包括歹意软体的电子邮件总数;右:2016歹意软体样本)

2017年 MyDoom 活泼水平。(左:2017包括歹意软体的电子邮件总数;右:2017歹意软体样本)

2018年 MyDoom 活泼水平。(左:2018包括歹意软体的电子邮件总数;右:2018歹意软体样本)

MyDoom 运动:2019年

与2018全年比拟,MyDoom 在2019年前六个月的运动显示出相似的均匀值,电子邮件和歹意软体样本的比例略高。细致资讯请参见表2。

年份

MyDoom  电子邮件

包括歹意软体的电子邮件总数

MyDoom 电子邮件的百分比

MyDoom 样本


MyDoom 样本的百分比

1月至6

 2019

465,896

41,002,585

1.1%

92,932

302,820

30.1%

▲表2. 2019年前六个月的 MyDoom 统计数据。 


2019年前六个月的 MyDoom 活泼水平。(左:2019年1月至6月包括歹意软体的电子邮件总数;右:歹意软体样本)

574 MyDoom 样本涌现凌驾一个月,因而下表3中的 MyDoom 歹意软体样本总数与上表中六个月内 MyDoom 样本总数差别。

月份

MyDoom  电子邮件

MyDoom 歹意软体样本

2019/1月

54,371

14,441

2019 /2月

47,748

11,566

2019/3月

80,537

18,789

2019/4月

92,049

17,278

2019 /5月

113,037

15,586

2019/6月

78,154

15,846

▲表3. 2019年前六个月的 MyDoom 月度统计数据。

 2019年1月至6月推送 MyDoom 的电子邮件数目

这些电子邮件来自那里?我们在2019年前六个月看到的十大国度的位址是:

  • 中国:349,454封电子邮件

  • 美国:18,590封电子邮件

  • 英国:10,151封电子邮件

  • 越南:4,426封电子邮件

  • 南韩:2,575封电子邮件

  • 西班牙:2,154封电子邮件

  • 俄罗斯:1,007封电子邮件

  • 印度:657封电子邮件

  • 台湾:536封电子邮件

  • 哈萨克:388封电子邮件 

目的国度比泉源国越发多样化和均匀分布。十大目的国度是:

  • 中国:72,713封电子邮件

  • 美国:56,135封电子邮件

  • 台湾:5,628封电子邮件

  • 德国:5,503封电子邮件

  • 日本:5,105封电子邮件

  • 新加坡:3,097封电子邮件

  • 南韩:1,892封电子邮件

  • 罗马尼亚:1,651封电子邮件

  • 澳洲:1,295封电子邮件

  • 英国:1,187封电子邮件

在此时代,前十大垂直行业是:

  • 高科技:212,641封电子邮件

  • 批发和零售:84,996封电子邮件

  • 医疗保健:49,782封电子邮件

  • 教诲:37,961封电子邮件

  • 制造业:32,429封电子邮件

  • 专业和法律服务:19,401封电子邮件

  • 电信:4,125封电子邮件

  • 财务:2,259封电子邮件

  • 运输和物流:1,595封电子邮件

  • 保险:796封电子邮件

这些效果倾向我们的客户群。然则,这些数据表明中国和美国事大多数 MyDoom 电子邮件的泉源国亦是排名最高的重点目的国度。 

MyDoom的特性

MyDoom 发行版已有多年的相似特性。在2019年2月,Cylance 剖析了一个 MyDoom 样本,当今的 MyDoom 样本遵照相似的特性。发送 MyDoom 的电子邮件时常被伪装成报告称电子邮件未胜利发送,个中宗旨为:

  • 传送失利

  • 关于您电子邮件的传送报告

  • 邮件系统毛病– 退回邮件

  • 能够没法发送音讯

  • 退回邮件:数据格式毛病

  • 退回邮件:详见笔墨报告 

然则,我们还经常在邮件主题中看到夹带随机字母的 MyDoom 电子邮件。MyDoom 电子邮件还运用其他宗旨,如:

  • 再次点击我,宝贝

  • 你好

  • 对我的朋侪说嗨

2019年7月宣布的 MyDoom 电子邮件类型(1/3)。

 ▲ 2019年7月宣布的 MyDoom 电子邮件类型(2/3)。

 2019年7月宣布的 MyDoom 电子邮件类型(3/3)。

这些 MyDoom 电子邮件的附件是可执行档,或者是包括可执行档的 zip 存档。MyDoom 歹意软体将受感染的 Windows 主机变成歹意装备,然后将 MyDoom 电子邮件发送到种种电子邮件位址。纵然受感染的 Windows 主机没有邮件客户端,也会发作这类状况。MyDoom 的另一个特性是尝试经由过程 TCP 埠1042衔接 IP 位址。 

2019年7月15日来自感染 MyDoom 的主机的电子邮件流量。

经由过程 TCP 埠1042从感染 MyDoom 的主机尝试衔接。

一个有Windows 7的主机, MyDoom 在用户的 AppData \ Local \ Temp 目次中制作了本身的副本lsass.exe,但歹意软体在Windows注册表中没有耐久化一个具有 Windows XP 的主机, MyDoom 可执行档在C:\ Windows \ lsass.exe 中自行复制,并经由过程HKEY_LOCAL_MACHINE设置单位中的 Windows 注册表坚持耐久性,并在 SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run 中运用名为Traybar的密钥如下图所示。

MyDoom 在Windows XP主机上耐久存在。

结论

MyDoom 虽然在2004年初次涌现,然则本日依然活泼,也证明了它最初的破坏性。多年以来除了看到很多的基础设施被感染,Palo Alto Networks延续视察 MyDoom 在当今的要挟范畴里,虽然歹意软体电子邮件包括 MyDoom 的总数削减,但此歹意软体依然存在。 

依据我们的数据,MyDoom 感染的基础设施位于中国的IP位址,而美国则排在第二位。中国和美国都是 MyDoom 电子邮件的重要接收者,而发送依然是全球性的,而且针对很多其他国度。高科技是最大的目的行业。