MyDoom，一种早已声名在外的计算机蠕虫病毒，首次被发现是在2004年初。作为位列十大最具破坏性的计算机病毒名单中的医院，MyDoom截止到目前已给全球受感染用户造成了约380亿美元的经济损失。

尽管早已经过了鼎盛时期，但MyDoom仍用实际行动向世人宣告“我还能坚持”。虽然已经不像其他恶意软件家族那样引人注目，但在过去的几年里，全球仍有不少计算机用户受到了MyDoom的侵害。

网络安全公司Palo Alto Networks在最新发布的一份报告指出，他们每个月都会监测到数以万计的MyDoom样本。其中，携带MyDoom的绝大多数电子邮件都来自在中国注册的IP地址，其次是美国。这些电子邮件被批量性地发送给了世界各地的收件人，主要集中在高科技、批发、零售、医疗、教育和制造业。

MyDoom在2015年至2018年期间的传播情况

如上所述，MyDoom的传播媒介主要就是恶意电子邮件。在2015年到2018年的这四年时间里，虽然大约只有1.1％的恶意电子邮件携带有MyDoom，但它的样本数量却占到了所有恶意软件样本数量的21.4％，具体如下：

表1. 2015年至2018年的MyDoom统计数据

图1. 2015年的MyDoom电子邮件和样本占比

图2. 2016年的MyDoom电子邮件和样本占比

图3. 2017年的MyDoom电子邮件和样本占比

图4. 2018年的MyDoom电子邮件和样本占比

MyDoom在2019年的传播情况

与2018年相比，MyDoom在2019年的前6个月展现出了相似的传播情况，恶意电子邮件和恶意软件样本的占比略有提高，具体如下：

表2. 2019年前6个月的MyDoom统计数据

图5. 2019年前6个月的MyDoom电子邮件和样本占比

仅在2019年1月份，就有574个MyDoom样本被检测到，具体如下：

表3. 2019年前6个月的MyDoom详细统计数据

图6. 2019年1月至6月MyDoom活动详情

这些电子邮件来自哪里？下面列出了前十大发件人IP地址所在的国家/地区：

• 中国：349,454封电子邮件
• 美国：18,590封电子邮件
• 英国：10,151封电子邮件
• 越南：4,426封电子邮件
• 韩国：2,575封电子邮件
• 西班牙：2,154封电子邮件
• 俄罗斯：1,007封电子邮件
• 印度：657封电子邮件
• 中国台湾：536封电子邮件
• 哈萨克斯坦：388封电子邮件

图7. MyDoom电子邮件发件人IP地址所在国家/地区的分布图

与之对应的，MyDoom活动所针对的十大目标国家/地区分别是：

• 中国：72,713封电子邮件
• 美国：56,135封电子邮件
• 中国台湾：5,628封电子邮件
• 德国：5,503封电子邮件
• 日本：5,105封电子邮件
• 新加坡：3,097封电子邮件
• 韩国：1,892封电子邮件
• 罗马尼亚：1,651封电子邮件
• 澳大利亚：1,295封电子邮件
• 英国：1,187封电子邮件

图8. MyDoom的目标国家/地区分布图

在此期间，MyDoom活动所针对的十大行业分别是：

• 高科技：212,641封电子邮件
• 批发和零售：84,996封电子邮件
• 医疗保健：49,782封电子邮件
• 教育：37,961封电子邮件
• 制造业：32,429封电子邮件
• 专业及法律服务：19,401封电子邮件
• 电信：4,125封电子邮件
• 金融：2,259封电子邮件
• 运输和物流：1,595封电子邮件
• 保险：796封电子邮件

Palo Alto Networks表示，由于所有这些数据都基于该公司的客户收集而来，因此可能会与是MyDoom活动的实际状况有所差异。但是，从这些数据大致可以看出，中国和美国是MyDoom电子邮件的主要来源，并且也是MyDoom感染的主要目标国家。

MyDoom技术分析

用于传播MyDoom的电子邮件通常伪装成电子邮件发送失败的错误反馈信息，比如：

• Delivery failed（发送失败）
• Delivery reports about your e-mail（关于电子邮件发送的报告）
• Mail System Error – Returned Mail（邮件系统错误-返回电子邮件）
• MESSAGE COULD NOT BE DELIVERED（消息可能无法传递）
• RETURNED MAIL: DATA FORMAT ERROR（返回电子邮件：数据格式错误）
• Returned mail: see transcript for details（返回电子邮件：请参阅分析报告以获取详细信息）

图8. 2019年7月发送的一些MyDoom电子邮件示例

除此之外，也有一些电子邮件的主题是一些根本看不懂的随机字符串以及莫名其妙的短语或单词，比如“Click me baby, one more time”、“hello”、“Hi”、“say helo to my litl friend”等。

这些电子邮件的附件可能是可执行文件，也可能是包含可执行文件的zip压缩文件。双击执行，可执行文件会立即复制自身一次，并将副本移动到“C:\\Windows\\lsass.exe”（Windows XP；Windows 7的话，复制在“AppData\\Local\\Temp”中进行，且不会修改注册表），然后就会修改如下系统注册表：

HKLM\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\Traybar

通过这种方式，MyDoom能够确保自身能够随计算机的重新启动而自动运行。

图9.MyDoom的执行流程

MyDoom能够将受感染计算机变成一台“恶意”设备，以便将恶意电子邮件通过已安装的电子邮件客户端发送到给更多的人。

图10. 2019年7月15日来自受感染计算机的电子邮件流量

如果受感染计算机没有安装电子邮件客户端，MyDoom也可以通过另一种方式来实现自我传播——通过TCP端口1042连接其他计算机。

图11.通过TCP端口1042从感染MyDoom计算机尝试连接其他计算机

如果有计算机开启了这个端口，则很可能就会成为下一个感染者。

结论

于2004年首次被发现，至今仍在活跃，MyDoom用实际行动证明了它的超强破坏力。虽然用来传播MyDoom的恶意电子邮件数量并不算多，但至少说明MyDoom并没有随着时间的流逝而远去。

基于Palo Alto Networks的统计数据我们可以看出，虽然MyDoom的主要感染目标是中国和美国的Windows用户，但也有些电子邮件被发送到了其他国家。显然，MyDoom的感染是全球性的，尤其是高科技行业更应该注意防御。