执行摘要

MyDoom是一个臭名昭著的计算机蠕虫病毒，最早在2004年初被发现。这一恶意软件已经被列入到十大破坏性计算机病毒的列表之中，大概已经造成了380亿美元的损失。时至今日，尽管这一病毒威胁已经过了“鼎盛时期”，但它仍然是网络威胁领域的一个组成部分。

尽管没有其他恶意软件那么突出，但MyDoom在过去几年中保持了一个比较平衡的发展势头。在全部电子邮件附带的恶意软件中，有1.1%是MyDoom。每个月，我们都会监测到数以万计的MyDoom样本，绝大多数MyDoom电子邮件都发自从中国注册的IP地址，美国紧随其后。这些电子邮件会发送到全世界各地用户的邮箱，主要针对高新技术、批发、零售、医疗保健、教育和制造业发动攻击。

本文主要记录了近年来MyDoom的活动情况，并重点分析了2019年上半年的病毒发展趋势。

2015年至2018年

MyDoom的传播方法是使用电子邮件的SMTP协议。我们将附件中附带MyDoom病毒的电子邮件与其他附带恶意软件的电子邮件进行了比较。在2015年到2018年的四年之中，平均有1.1%的恶意电子邮件中附带了MyDoom病毒。在这四年之中，在所有附带恶意软件的恶意电子邮件中，MyDoom平均占比21.4%。

为什么包含MyDoom电子邮件的百分比远低于MyDoom附件的百分比呢？原因在于，许多恶意电子邮件都会将相同的恶意软件样本传递给数百个或数千个收件人。但MyDoom并非如此，我们发现的每封电子邮件中，附带的MyDoom附件都具有不同的哈希值。因此，尽管MyDoom电子邮件的数量相对较少，但与通过电子邮件分发的其他恶意软件相比，其样本数量相对较高。

下面是2015至2018年的统计数据：

MyDoom在2015年的活跃情况：

MyDoom在2016年的活跃情况：

MyDoom在2017年的活跃情况：

MyDoom在2018年的活跃情况：

2019年的MyDoom活动

在2019年上半年，MyDoom的活跃情况与2018年相比基本持平，电子邮件和恶意软件样本的占比略高于2018年，详细信息如下。

MyDoom在2019年上半年的活跃情况：

有574个MyDoom样本出现超过一个月，因此下表中体现的MyDoom恶意样本总数与上表中体现的2019年上半年MyDoom样本总数不同。

月份            MyDoom邮件      MyDoom样本

2019年1月       54371                 14441

2019年2月       47748                 11566

2019年3月       80537                 18789

2019年4月       92049                 17278

2019年5月       113037               15586

2019年6月       78154                 15846

2019年1月至6月MyDoom活动图表：

这些电子邮件来自于哪里呢？我们在2019年上半年，监测到邮件来源国家（地区）的前十名排名如下：

中国大陆：349,454封电子邮件

美国：18,590封电子邮件

英国：10,151封电子邮件

越南：4,426封电子邮件

韩国：2,575封电子邮件

西班牙：2,154封电子邮件
俄罗斯：1,007封电子邮件
印度：657封电子邮件
台湾：536封电子邮件
哈萨克斯坦：388封电子邮件

2019年上半年MyDoom电子邮件的国家/地区分布图：

该恶意病毒所针对的目标国家（地区）更加多样化，并且均匀分布。其主要作为目标的十大国家/地区是：

中国大陆：72,713封电子邮件 

美国：56,135封电子邮件

台湾：5,628封电子邮件
德国：5,503封电子邮件
日本：5,105封电子邮件

新加坡：3,097封电子邮件

韩国：1,892封电子邮件
罗马尼亚：1,651封电子邮件
澳大利亚：1,295封电子邮件
英国：1,187封电子邮件

2019年上半年MyDoom攻击目标国家/地区分布图：

在此期间，恶意软件主要攻击的十大行业是：

高新技术：212,641封电子邮件
批发和零售：84,996封电子邮件
医疗保健：49,782封电子邮件
教育：37,961封电子邮件
制造业：32,429封电子邮件
专家和法律服务：19,401封电子邮件
电信：4,125封电子邮件
财务：2,259封电子邮件
运输和物流：1,595封电子邮件
保险：796封电子邮件

由于我们的客户群体有限，上述结果可能会因此产生偏差。但是，综合这些数据来看，中国和美国可能是大多数MyDoom电子邮件的来源，并且是该病毒首要针对的国家。

MyDoom的特征分析

多年来，MyDoom都具有类似的特征。在2019年2月，Cylance分析了一个新型MyDoom样本，发现目前的MyDoom样本也遵循着类似的特征。分发MyDoom的电子邮件通常会伪装成电子邮件未成功发送的报告，标题如下：

Delivery failed（发送失败）

Delivery reports about your e-mail（关于邮件的发送报告）

Mail System Error – Returned Mail（邮件系统错误-邮件退回）

MESSAGE COULD NOT BE DELIVERED（消息可能无法传递）

RETURNED MAIL: DATA FORMAT ERROR（退回邮件：数据格式错误）

Returned mail: see transcript for details（退回邮件：请参见表单获取详细信息）

但是，我们还经常在MyDoom恶意电子邮件的标题中发现随机字符。除此之外，MyDoom电子邮件还可能会使用其他的标题，例如：

Click me baby, one more time（点击我宝贝，再点一次）

hello（你好）

Hi（你好）

say helo to my litl friend（向我的小朋友说你好）

下面展示了2019年7月发现MyDoom恶意电子邮件样本的截图：

这些MyDoom电子邮件的附件通常都是可执行文件，或者是包含可执行文件的压缩包存档。MyDoom恶意软件将受感染的Windows主机作为恶意主机跳板，然后再将MyDoom电子邮件发送到其他电子邮件地址。即使受感染的Windows主机没有安装邮件客户端，也会作为跳板发送邮件。MyDoom的另一个特征是，尝试通过TCP端口1042连接到其他IP地址。

2019年7月15日监测到某台感染MyDoom的主机的电子邮件流量：

通过TCP端口1042从感染MyDoom的主机尝试连接：

在Windows 7主机上，MyDoom病毒在用户的AppData\Local\Temp目录下创建名为lsass.exe的恶意文件，从而复制其自身，但恶意软件在Windows注册表中没有设置持久化条目。在Windows XP主机上，MyDoom恶意可执行文件保存为C:\Windows\lsass.exe，并且会通过Windows注册表中的HKEY_LOCAL_MACHINE配置单元来保证持久性，同时会在SOFTWARE\Microsoft\Windows\CurrentVersion\Run中创建名为“Traybar”的键值，如下图所示。

总结

MyDoom病毒在2004年首次出现，时至今日仍然活跃，这足以证明该病毒所具有的破坏性。多年来，大量的基础设施受到病毒感染，我们在当今的威胁环境中仍然能够看到MyDoom。尽管在所有包含恶意软件的电子邮件中，MyDoom只占较小的一个比例，但这一恶意软件仍然存在的事实是不容置疑的。

根据我们的数据，MyDoom感染的基础设施绝大部分位于中国的IP地址，美国排在第二位。并且，尽管该恶意软件的攻击范围是全球，但中国和美国是MyDoom恶意邮件的主要攻击目标。此外，该恶意软件主要针对高新技术行业发动攻击。

目前，我们的威胁防御平台已经可以轻松检测到这一恶意软件，客户可以免受MyDoom的攻击。AutoFocus用户可以使用MyDoom标签来追踪MyDoom病毒感染的尝试。

我们与网络威胁联盟的成员分享了我们的调查结果，包括文件样本和威胁指标。CTA成员利用这种智能化、快速化的部署方式对客户进行保护，并能对恶意网络参与者开展系统性的打击。有关网络威胁联盟的更多信息，请访问www.cyberthreatalliance.org。

威胁指标

2019年7月的MyDoom EXE样本：

1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42

48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205

50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11

6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596

9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8