主页 > 博客 > PaloAltoNetworks(派拓网络)最新博客文章:MyDoom病毒:2019依旧
2019-08-04

PaloAltoNetworks(派拓网络)最新博客文章:MyDoom病毒:2019依旧

  臭名昭著的MyDoon计算机蠕虫,早在2004年便被发现,其位列具有破坏性计算机病毒前十名,估计损失达380亿美元。尽管已经“风光”不再,现在的MyDoom在整个网络威胁环境中仍占有一席之地。比如距离现在*近的2017年,在PaloAltoNetworks的双月威胁报告中我们记录了发生在欧洲、中东以及非洲地区的MyDoom活动。

  在过去几年中,MyDoom的生存保持相对稳定,在我们看到的带有恶意软件附件的邮件当中,平均约占1.1%。此外,我们每个月都记录到有成千上万个MyDoom样本。大多数MyDoom邮件来自于在中国注册的IP地址,其次是来自于美国。这些邮件在全世界范围内传送,其目标主要为高科技产业、批发及零售行业、医疗行业、教育以及制造业。

  本文跟踪了近几年MyDoom病毒的活动情况,并聚焦2019年上半年的发展趋势。

  MyDoom的传播方法是通过使用SMTP(SimpleMailTransferProtocol,简单邮件传输协议)的电子邮件来扩散。我们对两组邮件进行了对比,一组是带有MyDoom附件的邮件,另外一组是包含其他任意类型恶意软件附件的邮件,在2015至2018年的四年当中,我们发现平均有1.1%的恶意邮件含有MyDoom。对于同一时期的个体恶意软件样本,MyDoom占全部个体恶意附件的21.4%。

  为什么MyDoom邮件比MyDoom附件的占比低如此之多?这是因为,许多恶意邮件带有同一恶意样本并将其发送至成百上千个接受方。而MyDoom为多态,我们发现它针对每个邮件都有不同的文件哈希。因此,尽管MyDoom邮件数量相对较少,但在样本数量上与其他通过邮件来传播的恶意样本来比较是相对较高的。表1即为2015至2018年的统计数据。

  2019年上半年MyDoom的活跃程度,与2018年全年平均水平基本持平,仅在邮件和恶意软件样本占比方面略微高一点。见表2。

  不止一个月里有574个MyDoom样本出现,因此下表3中的MyDoom恶意软件样本总数与上一表中整个六个月期间的MyDoom样本总数不同。

  那么这些邮件来自于何处?在2019上半年中我们发现IP地址排在前十名的国家和地区包括,

  ●中国大陆:349,454封邮件●美国:18,590封邮件●英国:10,151封邮件●越南:4,426封邮件●韩国:2,575封邮件●西班牙:2,154封邮件●俄罗斯:1,007封邮件●印度:657封邮件●台湾地区:536封邮件●哈萨克斯坦:388封邮件

  ●中国大陆:72,713封邮件●美国:56,135封邮件●台湾地区:5,628封邮件●德国:5,503封邮件●日本:5,105封邮件●新加坡:3,097封邮件●韩国:1,892封邮件●罗马尼亚:1,651封邮件●澳大利亚:1,295封邮件●英国:1,187封邮件

  ●高科技:212,641封邮件●批发零售:84,996封邮件●医疗:49,782封邮件●教育:37,961封邮件●制造:32,429封邮件●专业及法律服务:19,401封邮件●电信:4,125封邮件●金融:2,259封邮件●运输及物流:1,595封邮件●保险:796封邮件

  当然以上结果很容易受到客户规模的影响。但是,这一数据显示中国和美国既是多数MyDoom的来源国,也是这一病毒的目标国。

  多年以来,MyDoon的传播有着相同的特征。2019年2月,人工智能和网络安全公司Cylance对MyDoom采样进行了分析,发现现在的MyDoom样本都有着类似的特征。通常情况下,邮件发送MyDoom病毒,会伪装成邮件发送失败后返回的报告,邮件标题为,

  ●发送失败●邮件发送报告●邮件系统错误邮件返回●邮件可能无法收到●邮件返回:数据格式错误●邮件返回:详细信息参考记录

  另外,我们还经常看到MyDoom邮件的标题字母排列混乱,有些标题还会呈现出以下这种形式,

  以下图9、图10和图11,来自于2019年7月MyDoom邮件样本的截屏:

  这些MyDoom邮件的附件都是可执行文件,或者是压缩包中含有可执行文件。MyDoom恶意软件可将Windows主机感染为恶意软件自动发送机器人,然后将MyDoom邮件发送至不同邮件地址,即使受感染的Windows主机没有邮件客户端,也将发送恶意邮件。此外,MyDoom的另外一个特征,是试图通过TCP接口1042来连接多个不同IP地址。

  尽管早在2004年便被发现,MyDoom在今天仍然活跃,这足以证明其初始破坏性该有多么强大。多年来,仍有大量的基础设施受到感染,我们在今天的威胁环境中仍能继续看到MyDoom的存在。此外,尽管在恶意邮件当中含有MyDoom病毒的比例相对较小,但这一病毒始终存在。

  基于对我们所掌握数据的分析,大多数受到MyDoom感染的基础设施其IP地址大多来自中国,而美国则紧跟其后。尽管MyDoom病毒全球传播并指向多个国家,但中国和美国仍然是两个主要接收MyDoom邮件的国家。高科技产业是其*大攻击目标。

  以上就是小编为您带来的“PaloAltoNetworks(派拓网络)最新博客文章:MyDoom病毒:2019依旧”全部内容,更多内容敬请关注!转载请注明出处。