This post is also available in: 简体中文 (簡體中文)

MyDoom是一種惡名昭彰的電腦蠕蟲病毒，最早於2004年初被發現。這種惡意軟體已成為最具破壞性的電腦病毒，估計損失達380億美元（台幣1兆1千4百萬元）。儘管現在已經過了它的全盛時期，MyDoom仍繼續存在於網路威脅領域。例如，就在2017年，Palo Alto Networks特別在雙月度威脅報告中紀錄MyDoom在EMEA（中東和非洲）地區的活動。

MyDoom在過去幾年相對來說保持著一致性，平均大概1.1%的電子郵件中會發現惡意軟體附件。我們每個月都會持續紀錄成千上萬的MyDoom樣本。絕大多數MyDoom電子郵件位址來自中國，而美國則排在第二位。這些電子郵件被發送到全世界，主要針對高科技，批發和零售，醫療保健，教育和製造業。

這篇部落格文章近年來追蹤MyDoom，並關注2019年前六個月的趨勢。

MyDoom活動：2015年至2018年

雖然沒有其他惡意軟體系列那麼突出，但近年來我們發現前後表現一致的MyDoom樣本。MyDoom的傳播方法是透過電子郵件使用SMTP。我們將包含MyDoom附件的電子郵件與包含其他惡意軟體附件的電子郵件進行比較。從2015年至2018年的四年期間，平均每1.1％的惡意電子郵件中包含MyDoom。在同一時期查看各個單一惡意軟體樣本時，MyDoom平均佔所有惡意軟體也高達21.4％。

為什麼MyDoom電子郵件的百分比遠低於MyDoom附件的百分比？ 因為許多惡意電子郵件，都會透過活動訊息挾帶相同的惡意樣本給成千上萬的收件人。 MyDoom是多態性的，這會導致在我們發現的每封電子郵件中有著不同的散列檔案。因此，雖然電子郵件的數量相對較少，但與通過電子郵件散播的其他惡意軟體相比，樣本數量相對較高。表1包含2015年至2018年的統計數據。

表1. 2015年至2018年的MyDoom統計數據。

2015包含惡意軟體的電子郵件總數     2015惡意軟體樣本

圖1. 2015年MyDoom活躍程度。

2016包含惡意軟體的電子郵件總數     2016惡意軟體樣本

圖2. 2016年MyDoom活躍程度。

2017包含惡意軟體的電子郵件總數      2017惡意軟體樣本

圖3. 2017年MyDoom活躍程度。

2018包含惡意軟體的電子郵件總數      2018惡意軟體樣本

圖4. 2018年MyDoom活躍程度。

MyDoom活動：2019年

與2018整年相比，MyDoom在2019年前六個月的活動顯示出相似的平均值，電子郵件和惡意軟體樣本的比例略高。詳細資訊請參見表2。

表2. 2019年前六個月的MyDoom統計數據。

       2019  1月至6月               2019  1月至6月
包含惡意軟體的電子郵件總數           惡意軟體樣本

圖5. 2019年前六個月的MyDoom活躍程度。

574 MyDoom樣本出現超過一個月，因此下表3中的MyDoom惡意軟體樣本總數與上表中六個月內MyDoom樣本總數不同。

表3. 2019年前六個月的MyDoom月度統計數據。

推送MyDoom的電子郵件數量

            2019/1月   2019/2月   2019/3月   2019/4月   2019/5月   2019 6月

       圖6.繪製2019年1月至6月MyDoom活動的圖表。

這些電子郵件來自哪裡？ 我們在2019年前六個月看到的十大國家的位址是：

• 中國：349,454封電子郵件
• 美國：18,590封電子郵件
• 英國：10,151封電子郵件
• 越南：4,426封電子郵件
• 南韓：2,575封電子郵件
• 西班牙：2,154封電子郵件
• 俄羅斯：1,007封電子郵件
• 印度：657封電子郵件
• 台灣：536封電子郵件
• 哈薩克：388封電子郵件

圖7. 2019年前六個月MyDoom電子郵件出現的國家/地區。

目標國家比來源國更加多樣化和均勻分佈。十大目標國家是：

• 中國：72,713封電子郵件
• 美國：56,135封電子郵件
• 台灣：5,628封電子郵件
• 德國：5,503封電子郵件
• 日本：5,105封電子郵件
• 新加坡：3,097封電子郵件
• 南韓：1,892封電子郵件
• 羅馬尼亞：1,651封電子郵件
• 澳洲：1,295封電子郵件
• 英國：1,187封電子郵件

圖8. 2019年前六個月MyDoom發送電子郵件的目標國家。

在此期間，前十大垂直行業是：

• 高科技：212,641封電子郵件
• 批發和零售：84,996封電子郵件
• 醫療保健：49,782封電子郵件
• 教育：37,961封電子郵件
• 製造業：32,429封電子郵件
• 專業和法律服務：19,401封電子郵件
• 電信：4,125封電子郵件
• 財務：2,259封電子郵件
• 運輸和物流：1,595封電子郵件
• 保險：796封電子郵件

這些結果偏向我們的客戶群。但是，這些數據表明中國和美國是大多數MyDoom電子郵件的來源國亦是排名最高的重點目標國家。

MyDoom的特徵

MyDoom發行版已有多年的類似特徵。在2019年2月，Cylance分析了一個MyDoom樣本，現今的MyDoom樣本遵循類似的特徵。發送MyDoom的電子郵件時常被偽裝成報告稱電子郵件未成功發送，其中主旨為：

• 傳送失敗
• 關於您電子郵件的傳送報告
• 郵件系統錯誤 – 退回郵件
• 可能無法發送消息
• 退回郵件：數據格式錯誤
• 退回郵件：詳見文字報告

但是，我們還經常在郵件主題中看到夾帶隨機字母的MyDoom電子郵件。 MyDoom電子郵件還使用其他主旨，如：

• 再次點擊我，寶貝
• 你好
• 嗨
• 對我的朋友說嗨

圖9、10和11顯示了2019年7月MyDoom電子郵件樣本的螢幕截圖。

圖9. 2019年7月發布的MyDoom電子郵件範例（1/3）。

圖10. 2019年7月發布的MyDoom電子郵件範例（2/3）。

圖11. 2019年7月發布的MyDoom電子郵件範例（3/3）。

這些MyDoom電子郵件的附件是可執行檔，或者是包含可執行檔的zip存檔。 MyDoom惡意軟體將受感染的Windows主機變為惡意設備，然後將MyDoom電子郵件發送到各種電子郵件位址。即使受感染的Windows主機沒有郵件客戶端，也會發生這種情況。MyDoom的另一個特徵是嘗試通過TCP埠1042連接IP位址。

圖12. 2019年7月15日來自感染MyDoom的主機的電子郵件流量。

圖13.通過TCP埠1042從感染MyDoom的主機嘗試連接。

一個有Windows 7的主機，MyDoom在用戶的AppData \ Local \ Temp目錄中製作了自己的副本lsass.exe，但惡意軟體在Windows註冊表中沒有持久化 一個具有Windows XP的主機，MyDoom可執行檔在C：\ Windows \ lsass.exe中自行複製，並通過HKEY_LOCAL_MACHINE配置單元中的Windows註冊表保持持久性，並在SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中使用名為Traybar的密鑰 如圖13所示。

圖14. MyDoom在Windows XP主機上持久存在。

結論

MyDoom雖然在2004年首次出現，但是今天仍然活躍，也證明了它最初的破壞性。多年以來除了看到許多的基礎設施被感染，Palo Alto Networks持續觀察MyDoom在現今的威脅領域裡，雖然惡意軟體電子郵件包含MyDoom的總數減少，但此惡意軟體仍然存在。

根據我們的數據，MyDoom感染的基礎設施位於中國的IP位址，而美國則排在第二位。中國和美國都是MyDoom電子郵件的主要接收者，而發送仍然是全球性的，並且針對許多其他國家。高科技是最大的目標行業。

Palo Alto Networks的客戶可藉由輕鬆移除惡意軟體的威脅，並且預防平臺受到威脅而受到保護。AutoFocus用戶可以使用MyDoom標記來追蹤MyDoom攻擊。

妥協的指標

MyDoom EXE樣品從2019年7月開始

1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42

48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205

50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11

6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596

9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8