MyDoom 2019年依然活躍,台灣受到威脅全球第三

MyDoom 2019年依然活躍,台灣受到威脅全球第三

MyDoom 已成為最具破壞性的電腦病毒,估計損失達380億美元(台幣1兆1千4百萬元)。儘管現在已經過了它的全盛時期, MyDoom 仍繼續存在於網路威脅領域。像在2017年,Palo Alto Networks 特別在雙月度威脅報告中紀錄 MyDoom 在EMEA(中東和非洲)地區的活動。

MyDoom 在過去幾年相對來說保持著一致性,平均大概1.1%的電子郵件中會發現惡意軟體附件。我們每個月都會持續紀錄成千上萬的 MyDoom 樣本。絕大多數 MyDoom 電子郵件位址來自中國,而美國則排在第二位。這些電子郵件被發送到全世界,主要針對高科技,批發和零售,醫療保健,教育和製造業。

MyDoom活動:2015年至2018年

雖然沒有其他惡意軟體系列那麼突出,但近年來我們發現前後表現一致的 MyDoom 樣本。MyDoom 的傳播方法是透過電子郵件使用 SMTP。我們將包含 MyDoom 附件的電子郵件與包含其他惡意軟體附件的電子郵件進行比較。從2015年至2018年的四年期間,平均每1.1%的惡意電子郵件中包含 MyDoom。在同一時期查看各個單一惡意軟體樣本時, MyDoom 平均佔所有惡意軟體也高達21.4%。

為什麼 MyDoom 電子郵件的百分比遠低於 MyDoom 附件的百分比?因為許多惡意電子郵件,都會透過活動訊息挾帶相同的惡意樣本給成千上萬的收件人。MyDoom 是多態性的,這會導致在我們發現的每封電子郵件中有著不同的散列檔案。因此,雖然電子郵件的數量相對較少,但與通過電子郵件散播的其他惡意軟體相比,樣本數量相對較高。表1包含2015年至2018年的統計數據。

年份

MyDoom  電子郵件

包含惡意軟體的電子郵件總數

MyDoom 電子郵件的百分比

MyDoom 樣本

惡意軟體總樣本

MyDoom 樣本的百分比

2015

574,674

27,599,631

2.1%

87,119

615,386

14.2%

2016

589,107

77,575,376

0.8%

142,659

960,517

14.9%

2017

309,978

79,599,864

0.4%

95,115

340,433

27.9%

2018

663,212

64,919,295

1.0%

150,075

528,306

28.4%

▲表1. 2015年至2018年的 MyDoom 統計數據。 

2015年MyDoom活躍程度。 

2016年MyDoom活躍程度。

2017年MyDoom活躍程度。 

2018年MyDoom活躍程度。

MyDoom 活動:2019年

與2018整年相比,MyDoom 在2019年前六個月的活動顯示出相似的平均值,電子郵件和惡意軟體樣本的比例略高。詳細資訊請參見表2。

年份

MyDoom  電子郵件

包含惡意軟體的電子郵件總數

MyDoom 電子郵件的百分比

MyDoom 樣本

惡意軟體總樣本

MyDoom 樣本的百分比

1月至6

 2019

465,896

41,002,585

1.1%

92,932

302,820

30.1%

▲表2. 2019年前六個月的 MyDoom 統計數據。 

圖5. 2019年前六個月的MyDoom活躍程度。

574 MyDoom 樣本出現超過一個月,因此下表3中的 MyDoom 惡意軟體樣本總數與上表中六個月內 MyDoom 樣本總數不同。

月份

MyDoom  電子郵件

MyDoom 惡意軟體樣本

2019/1月

54,371

14,441

2019 /2月

47,748

11,566

2019/3月

80,537

18,789

2019/4月

92,049

17,278

2019 /5月

113,037

15,586

2019/6月

78,154

15,846

▲表3. 2019年前六個月的 MyDoom 月度統計數據。

    繪製2019年1月至6月MyDoom活動的圖表。

這些電子郵件來自哪裡?我們在2019年前六個月看到的十大國家的位址是:

  • 中國:349,454封電子郵件
  • 美國:18,590封電子郵件
  • 英國:10,151封電子郵件
  • 越南:4,426封電子郵件
  • 南韓:2,575封電子郵件
  • 西班牙:2,154封電子郵件
  • 俄羅斯:1,007封電子郵件
  • 印度:657封電子郵件
  • 台灣:536封電子郵件
  • 哈薩克:388封電子郵件 

目標國家比來源國更加多樣化和均勻分佈。十大目標國家是:

  • 中國:72,713封電子郵件
  • 美國:56,135封電子郵件
  • 台灣:5,628封電子郵件
  • 德國:5,503封電子郵件
  • 日本:5,105封電子郵件
  • 新加坡:3,097封電子郵件
  • 南韓:1,892封電子郵件
  • 羅馬尼亞:1,651封電子郵件
  • 澳洲:1,295封電子郵件
  • 英國:1,187封電子郵件

在此期間,前十大垂直行業是:

  • 高科技:212,641封電子郵件
  • 批發和零售:84,996封電子郵件
  • 醫療保健:49,782封電子郵件
  • 教育:37,961封電子郵件
  • 製造業:32,429封電子郵件
  • 專業和法律服務:19,401封電子郵件
  • 電信:4,125封電子郵件
  • 財務:2,259封電子郵件
  • 運輸和物流:1,595封電子郵件
  • 保險:796封電子郵件

這些結果偏向我們的客戶群。但是,這些數據表明中國和美國是大多數 MyDoom 電子郵件的來源國亦是排名最高的重點目標國家。 

MyDoom的特徵

MyDoom 發行版已有多年的類似特徵。在2019年2月,Cylance 分析了一個 MyDoom 樣本,現今的 MyDoom 樣本遵循類似的特徵。發送 MyDoom 的電子郵件時常被偽裝成報告稱電子郵件未成功發送,其中主旨為:

  • 傳送失敗
  • 關於您電子郵件的傳送報告
  • 郵件系統錯誤– 退回郵件
  • 可能無法發送消息
  • 退回郵件:數據格式錯誤
  • 退回郵件:詳見文字報告 

但是,我們還經常在郵件主題中看到夾帶隨機字母的 MyDoom 電子郵件。MyDoom 電子郵件還使用其他主旨,如:

  • 再次點擊我,寶貝
  • 你好
  • 對我的朋友說嗨

MyDoom 2019年依然活躍 台灣受到威脅全球第三

MyDoom 2019年依然活躍 台灣受到威脅全球第三

MyDoom 2019年依然活躍 台灣受到威脅全球第三

這些 MyDoom 電子郵件的附件是可執行檔,或者是包含可執行檔的 zip 存檔。MyDoom 惡意軟體將受感染的 Windows 主機變為惡意設備,然後將 MyDoom 電子郵件發送到各種電子郵件位址。即使受感染的 Windows 主機沒有郵件客戶端,也會發生這種情況。MyDoom 的另一個特徵是嘗試通過 TCP 埠1042連接 IP 位址。 

圖11. 2019年7月15日來自感染 MyDoom 的主機的電子郵件流量。

通過 TCP 埠1042從感染 MyDoom 的主機嘗試連接。

一個有Windows 7的主機, MyDoom 在用戶的 AppData \ Local \ Temp 目錄中製作了自己的副本lsass.exe,但惡意軟體在Windows註冊表中沒有持久化一個具有 Windows XP 的主機, MyDoom 可執行檔在C:\ Windows \ lsass.exe 中自行複製,並通過HKEY_LOCAL_MACHINE配置單元中的 Windows 註冊表保持持久性,並在 SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run 中使用名為Traybar的密鑰如下圖所示。

MyDoom 2019年依然活躍 台灣受到威脅全球第三

結論

MyDoom 雖然在2004年首次出現,但是今天仍然活躍,也證明了它最初的破壞性。多年以來除了看到許多的基礎設施被感染,Palo Alto Networks持續觀察 MyDoom 在現今的威脅領域裡,雖然惡意軟體電子郵件包含 MyDoom 的總數減少,但此惡意軟體仍然存在。 

根據我們的數據,MyDoom 感染的基礎設施位於中國的IP位址,而美國則排在第二位。中國和美國都是 MyDoom 電子郵件的主要接收者,而發送仍然是全球性的,並且針對許多其他國家。高科技是最大的目標行業。 

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則