从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

申博_行业观察 申博 97次浏览 已收录 0个评论

实行择要

MyDoom是一个臭名远扬的计算机蠕虫病毒,最早在2004年终被发明。这一歹意软件已被列入到十大破坏性计算机病毒的列表当中,也许已造成了380亿美圆的丧失。时至今日,只管这一病毒要挟已过了“鼎盛时期”,但它依然是收集要挟范畴的一个组成部分。

只管没有其他歹意软件那末凸起,但MyDoom在过去几年中坚持了一个比较均衡的发展势头。在悉数电子邮件附带的歹意软件中,有1.1%是MyDoom。每月,我们都邑监测到数以万计的MyDoom样本,绝大多数MyDoom电子邮件都发自从中国注册的IP地点,美国紧随其后。这些电子邮件会发送到环球各地用户的邮箱,重要针对高新技术、批发、零售、医疗保健、教诲和制造业发起进击。

本文重要记录了近年来MyDoom的运动状况,并重点剖析了2019年上半年的病毒发展趋势。

2015年至2018年

MyDoom的流传要领是运用电子邮件的SMTP协定。我们将附件中附带MyDoom病毒的电子邮件与其他附带歹意软件的电子邮件举行了比较。在2015年到2018年的四年当中,均匀有1.1%的歹意电子邮件中附带了MyDoom病毒。在这四年当中,在所有附带歹意软件的歹意电子邮件中,MyDoom均匀占比21.4%。

为何包含MyDoom电子邮件的百分比远低于MyDoom附件的百分比呢?缘由在于,很多歹意电子邮件都邑将雷同的歹意软件样本通报给数百个或数千个收件人。但MyDoom并非如此,我们发明的每封电子邮件中,附带的MyDoom附件都具有差别的哈希值。因而,只管MyDoom电子邮件的数目相对较少,但与经由过程电子邮件分发的其他歹意软件比拟,其样本数目相对较高。

下面是2015至2018年的统计数据:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

MyDoom在2015年的活泼状况:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

MyDoom在2016年的活泼状况:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

MyDoom在2017年的活泼状况:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

MyDoom在2018年的活泼状况:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

2019年的MyDoom运动

在2019年上半年,MyDoom的活泼状况与2018年比拟基础持平,电子邮件和歹意软件样本的占比略高于2018年,详细信息以下。

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

MyDoom在2019年上半年的活泼状况:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

有574个MyDoom样本涌现凌驾一个月,因而下表中表现的MyDoom歹意样本总数与上表中表现的2019年上半年MyDoom样本总数差别。

月份            MyDoom邮件      MyDoom样本

2019年1月       54371                 14441

2019年2月       47748                 11566

2019年3月       80537                 18789

2019年4月       92049                 17278

2019年5月       113037               15586

2019年6月       78154                 15846

2019年1月至6月MyDoom运动图表:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

这些电子邮件来自于那里呢?我们在2019年上半年,监测到邮件泉源国度(区域)的前十名排名以下:

中国大陆:349,454封电子邮件

美国:18,590封电子邮件

英国:10,151封电子邮件

越南:4,426封电子邮件

韩国:2,575封电子邮件

西班牙:2,154封电子邮件
俄罗斯:1,007封电子邮件
印度:657封电子邮件
台湾:536封电子邮件
哈萨克斯坦:388封电子邮件

2019年上半年MyDoom电子邮件的国度/区域分布图:

URGENT/11: VxWorks RTOS 11个0 day漏洞影响20亿设备

Armis Labs安全研究人员近日在目前使用最广泛嵌入式设备实时操作系统(real-time operating systems,RTOS)VxWorks中发现了11个0 day漏洞,该操作系统广泛应用于航空、国防、工业、医疗、电子、网络和其他关键行业中,预计影响超过20亿设备。 Armis Labs安全研究人员在目前使用最广泛嵌入式设备实时操作系统(real-time operating systems,RTOS)VxWorks的TCP/IP栈中发现了11个0 day漏洞,称作URGENT/11,影响v 6.5及之后版本,甚至影响13年之

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

该歹意病毒所针对的目的国度(区域)越发多样化,而且均匀分布。其重要作为目的的十大国度/区域是:

中国大陆:72,713封电子邮件 

美国:56,135封电子邮件

台湾:5,628封电子邮件
德国:5,503封电子邮件
日本:5,105封电子邮件

新加坡:3,097封电子邮件

韩国:1,892封电子邮件
罗马尼亚:1,651封电子邮件
澳大利亚:1,295封电子邮件
英国:1,187封电子邮件

2019年上半年MyDoom进击目的国度/区域分布图:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

在此期间,歹意软件重要进击的十大行业是:

高新技术:212,641封电子邮件
批发和零售:84,996封电子邮件
医疗保健:49,782封电子邮件
教诲:37,961封电子邮件
制造业:32,429封电子邮件
专家和法律服务:19,401封电子邮件
电信:4,125封电子邮件
财务:2,259封电子邮件
运输和物流:1,595封电子邮件
保险:796封电子邮件

因为我们的客户群体有限,上述效果能够会因而发生误差。然则,综合这些数据来看,中国和美国多是大多数MyDoom电子邮件的泉源,而且是该病毒主要针对的国度。

MyDoom的特性剖析

多年来,MyDoom都具有相似的特性。在2019年2月,Cylance剖析了一个新型MyDoom样本,发明现在的MyDoom样本也遵照着相似的特性。分发MyDoom的电子邮件一般会伪装成电子邮件未胜利发送的报告,题目以下:

Delivery failed(发送失利)

Delivery reports about your e-mail(关于邮件的发送报告)

Mail System Error – Returned Mail(邮件系统毛病-邮件退回)

MESSAGE COULD NOT BE DELIVERED(音讯能够没法通报)

RETURNED MAIL: DATA FORMAT ERROR(退回邮件:数据格式毛病)

Returned mail: see transcript for details(退回邮件:请拜见表单猎取详细信息)

然则,我们还经常在MyDoom歹意电子邮件的题目中发明随机字符。除此之外,MyDoom电子邮件还能够会运用其他的题目,比方:

Click me baby, one more time(点击我宝贝,再点一次)

hello(你好)

Hi(你好)

say helo to my litl friend(向我的小朋友说你好)

下面展现了2019年7月发明MyDoom歹意电子邮件样本的截图:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

这些MyDoom电子邮件的附件一般都是可实行文件,或者是包含可实行文件的压缩包存档。MyDoom歹意软件将受感染的Windows主机作为歹意主机跳板,然后再将MyDoom电子邮件发送到其他电子邮件地点。纵然受感染的Windows主机没有装置邮件客户端,也会作为跳板发送邮件。MyDoom的另一个特性是,尝试经由过程TCP端口1042衔接到其他IP地点。

2019年7月15日监测到某台感染MyDoom的主机的电子邮件流量:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

经由过程TCP端口1042从感染MyDoom的主机尝试衔接:

从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析

在Windows 7主机上,MyDoom病毒在用户的AppData\Local\Temp目录下建立名为lsass.exe的歹意文件,从而复制其本身,但歹意软件在Windows注册表中没有设置耐久化条目。在Windows XP主机上,MyDoom歹意可实行文件保存为C:\Windows\lsass.exe,而且会经由过程Windows注册表中的HKEY_LOCAL_MACHINE设置单位来保证耐久性,同时会在SOFTWARE\Microsoft\Windows\CurrentVersion\Run中建立名为“Traybar”的键值,以下图所示。

总结

MyDoom病毒在2004年初次涌现,时至今日依然活泼,这足以证实该病毒所具有的破坏性。多年来,大批的基础设施遭到病毒感染,我们在现今的要挟环境中依然能够看到MyDoom。只管在所有包含歹意软件的电子邮件中,MyDoom只占较小的一个比例,但这一歹意软件依然存在的事实是无可置疑的。

依据我们的数据,MyDoom感染的基础设施绝大部分位于中国的IP地点,美国排在第二位。而且,只管该歹意软件的进击局限是环球,但中国和美国事MyDoom歹意邮件的重要进击目的。另外,该歹意软件重要针对高新技术行业发起进击。

现在,我们的要挟防备平台已能够轻松检测到这一歹意软件,客户能够免受MyDoom的进击。AutoFocus用户能够运用MyDoom标签来追踪MyDoom病毒感染的尝试。

我们与收集要挟同盟的成员分享了我们的调查效果,包含文件样本和要挟目标。CTA成员应用这类智能化、快速化的布置体式格局对客户举行庇护,并能对歹意收集参与者展开系统性的袭击。有关收集要挟同盟的更多信息,请接见www.cyberthreatalliance.org。

原文地点: https://www.4hou.com/info/observation/19503.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明从2004到2019:MyDoom蠕虫病毒发展趋势及最新变种剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址