MyDoom 已成為最具破壞性的電腦病毒,估計損失達380億美元(台幣1兆1千4百萬元)。儘管現在已經過了它的全盛時期, MyDoom 仍繼續存在於網路威脅領域。像在2017年,Palo Alto Networks 特別在雙月度威脅報告中紀錄 MyDoom 在EMEA(中東和非洲)地區的活動。
MyDoom 在過去幾年相對來說保持著一致性,平均大概1.1%的電子郵件中會發現惡意軟體附件。我們每個月都會持續紀錄成千上萬的 MyDoom 樣本。絕大多數 MyDoom 電子郵件位址來自中國,而美國則排在第二位。這些電子郵件被發送到全世界,主要針對高科技,批發和零售,醫療保健,教育和製造業。
MyDoom活動:2015年至2018年
雖然沒有其他惡意軟體系列那麼突出,但近年來我們發現前後表現一致的 MyDoom 樣本。MyDoom 的傳播方法是透過電子郵件使用 SMTP。我們將包含 MyDoom 附件的電子郵件與包含其他惡意軟體附件的電子郵件進行比較。從2015年至2018年的四年期間,平均每1.1%的惡意電子郵件中包含 MyDoom。在同一時期查看各個單一惡意軟體樣本時, MyDoom 平均佔所有惡意軟體也高達21.4%。
為什麼 MyDoom 電子郵件的百分比遠低於 MyDoom 附件的百分比?因為許多惡意電子郵件,都會透過活動訊息挾帶相同的惡意樣本給成千上萬的收件人。MyDoom 是多態性的,這會導致在我們發現的每封電子郵件中有著不同的散列檔案。因此,雖然電子郵件的數量相對較少,但與通過電子郵件散播的其他惡意軟體相比,樣本數量相對較高。表1包含2015年至2018年的統計數據。
|
年份 |
MyDoom 電子郵件 |
包含惡意軟體的電子郵件總數 |
MyDoom 電子郵件的百分比 |
MyDoom 樣本 |
惡意軟體總樣本 |
MyDoom 樣本的百分比 |
|
2015 |
574,674 |
27,599,631 |
2.1% |
87,119 |
615,386 |
14.2% |
|
2016 |
589,107 |
77,575,376 |
0.8% |
142,659 |
960,517 |
14.9% |
|
2017 |
309,978 |
79,599,864 |
0.4% |
95,115 |
340,433 |
27.9% |
|
2018 |
663,212 |
64,919,295 |
1.0% |
150,075 |
528,306 |
28.4% |
▲表1. 2015年至2018年的 MyDoom 統計數據。
MyDoom 活動:2019年
與2018整年相比,MyDoom 在2019年前六個月的活動顯示出相似的平均值,電子郵件和惡意軟體樣本的比例略高。詳細資訊請參見表2。
|
年份 |
MyDoom 電子郵件 |
包含惡意軟體的電子郵件總數 |
MyDoom 電子郵件的百分比 |
MyDoom 樣本 |
惡意軟體總樣本 |
MyDoom 樣本的百分比 |
|
1月至6月 2019 |
465,896 |
41,002,585 |
1.1% |
92,932 |
302,820 |
30.1% |
▲表2. 2019年前六個月的 MyDoom 統計數據。
574 MyDoom 樣本出現超過一個月,因此下表3中的 MyDoom 惡意軟體樣本總數與上表中六個月內 MyDoom 樣本總數不同。
|
月份 |
MyDoom 電子郵件 |
MyDoom 惡意軟體樣本 |
|
2019/1月 |
54,371 |
14,441 |
|
2019 /2月 |
47,748 |
11,566 |
|
2019/3月 |
80,537 |
18,789 |
|
2019/4月 |
92,049 |
17,278 |
|
2019 /5月 |
113,037 |
15,586 |
|
2019/6月 |
78,154 |
15,846 |
▲表3. 2019年前六個月的 MyDoom 月度統計數據。
這些電子郵件來自哪裡?我們在2019年前六個月看到的十大國家的位址是:
- 中國:349,454封電子郵件
- 美國:18,590封電子郵件
- 英國:10,151封電子郵件
- 越南:4,426封電子郵件
- 南韓:2,575封電子郵件
- 西班牙:2,154封電子郵件
- 俄羅斯:1,007封電子郵件
- 印度:657封電子郵件
- 台灣:536封電子郵件
- 哈薩克:388封電子郵件
目標國家比來源國更加多樣化和均勻分佈。十大目標國家是:
- 中國:72,713封電子郵件
- 美國:56,135封電子郵件
- 台灣:5,628封電子郵件
- 德國:5,503封電子郵件
- 日本:5,105封電子郵件
- 新加坡:3,097封電子郵件
- 南韓:1,892封電子郵件
- 羅馬尼亞:1,651封電子郵件
- 澳洲:1,295封電子郵件
- 英國:1,187封電子郵件
在此期間,前十大垂直行業是:
- 高科技:212,641封電子郵件
- 批發和零售:84,996封電子郵件
- 醫療保健:49,782封電子郵件
- 教育:37,961封電子郵件
- 製造業:32,429封電子郵件
- 專業和法律服務:19,401封電子郵件
- 電信:4,125封電子郵件
- 財務:2,259封電子郵件
- 運輸和物流:1,595封電子郵件
- 保險:796封電子郵件
這些結果偏向我們的客戶群。但是,這些數據表明中國和美國是大多數 MyDoom 電子郵件的來源國亦是排名最高的重點目標國家。
MyDoom的特徵
MyDoom 發行版已有多年的類似特徵。在2019年2月,Cylance 分析了一個 MyDoom 樣本,現今的 MyDoom 樣本遵循類似的特徵。發送 MyDoom 的電子郵件時常被偽裝成報告稱電子郵件未成功發送,其中主旨為:
- 傳送失敗
- 關於您電子郵件的傳送報告
- 郵件系統錯誤– 退回郵件
- 可能無法發送消息
- 退回郵件:數據格式錯誤
- 退回郵件:詳見文字報告
但是,我們還經常在郵件主題中看到夾帶隨機字母的 MyDoom 電子郵件。MyDoom 電子郵件還使用其他主旨,如:
- 再次點擊我,寶貝
- 你好
- 嗨
- 對我的朋友說嗨
這些 MyDoom 電子郵件的附件是可執行檔,或者是包含可執行檔的 zip 存檔。MyDoom 惡意軟體將受感染的 Windows 主機變為惡意設備,然後將 MyDoom 電子郵件發送到各種電子郵件位址。即使受感染的 Windows 主機沒有郵件客戶端,也會發生這種情況。MyDoom 的另一個特徵是嘗試通過 TCP 埠1042連接 IP 位址。
一個有Windows 7的主機, MyDoom 在用戶的 AppData \ Local \ Temp 目錄中製作了自己的副本lsass.exe,但惡意軟體在Windows註冊表中沒有持久化一個具有 Windows XP 的主機, MyDoom 可執行檔在C:\ Windows \ lsass.exe 中自行複製,並通過HKEY_LOCAL_MACHINE配置單元中的 Windows 註冊表保持持久性,並在 SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run 中使用名為Traybar的密鑰如下圖所示。
結論
MyDoom 雖然在2004年首次出現,但是今天仍然活躍,也證明了它最初的破壞性。多年以來除了看到許多的基礎設施被感染,Palo Alto Networks持續觀察 MyDoom 在現今的威脅領域裡,雖然惡意軟體電子郵件包含 MyDoom 的總數減少,但此惡意軟體仍然存在。
根據我們的數據,MyDoom 感染的基礎設施位於中國的IP位址,而美國則排在第二位。中國和美國都是 MyDoom 電子郵件的主要接收者,而發送仍然是全球性的,並且針對許多其他國家。高科技是最大的目標行業。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!