欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

MyDoom蠕虫病毒势头不减

来源:本站整理 作者:佚名 时间:2019-08-06 TAG: 我要投稿

Mydoom是一款远近闻名的计算机蠕虫病毒,最早于2004年初被发现。这一蠕虫病毒被列为十大最具破坏性的计算机病毒,已造成了380亿美元的损失。虽然现在已经过了鼎盛时期,但该病毒对网络安全仍有很大威胁。虽然没有其他恶意软件家族显眼,但在过去的几年里,mydoom仍然活动频繁,约占所有带有恶意软件附件邮件的1.1%。我们每月记录近数万个mydoom样本。绝大多数mydoom电子邮件来自中国IP地址。这些电子邮件发送给世界各地的接收者,该病毒主要针对高科技、批发、零售、医疗、教育和制造业。
本文记录了该病毒最近几年的活动,并详细记录了2019年前六个月的趋势。
2015-2018年间活动
Mydoom的传播方法是通过使用电子邮件。分析过程中将包含mydoom附件的电子邮件与包含其他类型恶意软件附件的电子邮件进行了比较。从2015年到2018年的四年时间里,1.1%的恶意邮件包含了Mydoom。在同一时期查看单个恶意软件样本时,mydoom恶意电子邮件占有量平均值为21.4%。
为什么Mydoom电子邮件的百分比要比Mydoom附件的百分比低得多?因为许多恶意的电子邮件活动都会向成百上千的收件人传递相同的恶意软件样本。但是mydoom是多态的,对于我们发现的每一封电子邮件,往往都有不同的文件散列。因此,虽然mydoom电子邮件的数量相对较低,但与通过电子邮件传播的其他恶意软件相比,样本的数量相对较高。下表包含了2015年至2018年的统计数据。



Mydoom 2019年活动
2019年前6个月mydoom活动显示,其与2018年相比平均值相似,电子邮件和恶意软件样本的比例略高。详见表2。

在一个月内出现了超过574个mydoom样本,下表3中记录了每月mydoom恶意软件样本数量变化。


这些电子邮件来自哪里?2019年前六个月看到的前十个国家的IP地址是:
中国:349454封
美国:18590封
英国:10151封
越南:4426封
韩国:2575封
西班牙:2154封
俄罗斯:1007封
印度:657封
台湾:536封
哈萨克斯坦:388封

与来源国相比,目标国更为多样化,分布更为均匀。十大目标国家是:
中国:72713封
美国:56135封
台湾:5628封
德国:5503封
日本:5105封
新加坡:3097封
大韩民国:1892
罗马尼亚:1651封
澳大利亚:1295封
英国:1187封

在此期间,前十个针对领域是:
高科技:212641封
批发和零售:84996封
医疗保健:49782封
教育:37961封
制造:32429封
专业和法律服务:19401封
电信:4125封
财务:2259封
运输与物流:1595封
保险:796封
这些结果很大程度上偏向我们的客户群。然而,这一数据表明,中国和美国是大多数mydoom邮件的来源国,也是最被病毒针对的国家。
mydoom特征
多年来,mydoom具有相似的特征。mydoom的电子邮件通常伪装成未发送电子邮件的形式,主题行如下:
寄送邮件失败
电子邮件的邮寄报告
邮件系统错误–返回邮件
无法传递邮件
返回邮件:数据格式错误
退回邮件:详见传输单
但是,我们也经常看到主题行中有随机字母字符的mydoom电子邮件。mydoom电子邮件还使用其他主题行,如:Click me baby, one more timehelloHisay helo to my litl friend
图8、9和10显示了2019年7月mydoom电子邮件样本的截图。



这些mydoom电子邮件的附件是可执行文件,或者是包含可执行文件的zip压缩包。MyDoom恶意软件会将受感染的Windows主机变成恶意垃圾邮件发送人,然后将MyDoom电子邮件发送到其他目标电子邮件地址。即使受感染的Windows主机没有邮件客户端,该病毒也会利用受感染主机发送邮件。MyDoom的另一个特点是试图通过TCP端口1042连接到其他IP地址。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载