攻击者通常都要保持恶意软件与攻击技术在最新 ，别拿但不要因此认为陈旧的陈旧恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的恶当威攻击行动。MyDoom（也被称为 Novarg 与 Mimail）在 2004 年被首次发现 ，意软距今已经接近二十年了 。别拿

典型的陈旧 MyDoom 钓鱼邮件通常以邮件退回为主题 ，电子邮件头会标明退回的恶当威原因与自定义的 Content-Type。源码库邮件通常会携带一个附件 ，意软有时是别拿压缩的，但也可以不压缩。陈旧

钓鱼邮件

被发现的恶当威相关恶意邮件标题如下所示：

邮件的恶意附件名如下所示 ：

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名（.cmd、.scr
、云计算意软.com 等） ，别拿这使得用户降低了警惕
。陈旧

隐藏文件扩展名的恶当威可执行文件

尽管文件扩展名不同 ，但该文件是一个 32 位可执行文件，并且使用 UPX 加壳 。

使用 UPX 加壳

UPX 壳历久弥新
，由于攻击者并未定制修改
，使用工具即可很容易地进行脱壳 。

进行 UPX 脱壳

执行 MyDoom ，香港云服务器恶意样本会尝试修改 Windows 防火墙设置 。

Rundll32.exe 正在修改防火墙设置

用户会看到一个弹出请求 ，要求给予可执行文件访问权限以通过防火墙进行通信。

安全警告

接着
，MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下 ，并将文件名改为良性的 Windows 应用程序名称 。本例中，MyDoom 使用了 lsass.exe 作为名字 。

创建副本文件

恶意样本还会创建一个写满垃圾文本的源码下载文件
，创建后就不会再次使用。

创建垃圾文件

MyDoom 会通过端口 1042 进行通信 ，在多个可能的 C&C 域名中轮询，如下所示
：

通过 1042 端口进行通信

继承了遗产的 MyDoom  ，也会通过文件共享实用程序来进行传播。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件，并且命名为非常有年代感的应用程序名称。模板下载

各种 MyDoom 副本文件

应用程序的名称如下所示：

尽管 MyDoom 已经走过了近二十年的路 ，但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件 ，也仍然十分危险。