攻击者通常都要保持恶意软件与攻击技术在最新
，别拿但不要因此认为陈旧的陈旧恶意软件就会销声匿迹 。研究人员在近期就发现了使用 MyDoom 蠕虫的恶当威攻击行动 。MyDoom（也被称为 Novarg 与 Mimail）在 2004 年被首次发现，意软距今已经接近二十年了 。别拿

典型的陈旧 MyDoom 钓鱼邮件通常以邮件退回为主题，电子邮件头会标明退回的恶当威原因与自定义的 Content-Type
。亿华云邮件通常会携带一个附件 ，意软有时是别拿压缩的 ，但也可以不压缩。陈旧

钓鱼邮件

被发现的恶当威相关恶意邮件标题如下所示
：

邮件的恶意附件名如下所示：

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名（.cmd
、.scr、云计算意软.com 等），别拿这使得用户降低了警惕。陈旧

隐藏文件扩展名的恶当威可执行文件

尽管文件扩展名不同 ，但该文件是一个 32 位可执行文件 ，并且使用 UPX 加壳 。

使用 UPX 加壳

UPX 壳历久弥新，由于攻击者并未定制修改，使用工具即可很容易地进行脱壳。

进行 UPX 脱壳

执行 MyDoom ，香港云服务器恶意样本会尝试修改 Windows 防火墙设置。

Rundll32.exe 正在修改防火墙设置

用户会看到一个弹出请求，要求给予可执行文件访问权限以通过防火墙进行通信。

安全警告

接着 ，MyDoom 会将自身的副本放入 C:\Users\\AppData\Local\Temp 路径下 ，并将文件名改为良性的 Windows 应用程序名称。本例中 ，MyDoom 使用了 lsass.exe 作为名字 。

创建副本文件

恶意样本还会创建一个写满垃圾文本的源码库文件，创建后就不会再次使用 。

创建垃圾文件

MyDoom 会通过端口 1042 进行通信 ，在多个可能的 C&C 域名中轮询，如下所示 ：

通过 1042 端口进行通信

继承了遗产的 MyDoom ，也会通过文件共享实用程序来进行传播
。它会在 C:\Program Files\Common Files\Microsoft Shared 文件夹中释放多个文件 ，并且命名为非常有年代感的应用程序名称 。模板下载

各种 MyDoom 副本文件

应用程序的名称如下所示：

尽管 MyDoom 已经走过了近二十年的路
，但是 MyDoom 的最新感染与钓鱼仍然没有停止。即使是非常陈旧的恶意软件，也仍然十分危险。