Главная страница » IOC
0
2 года
IOC

MyDoom Worm IOCs

worm

Лаборатория FortiGuard Labs столкнулась с одной из кампаний использующей червя MyDoom.

MyDoom Worm

MyDoom (также известный как Novarg и Mimail) был впервые обнаружен в 2004 году. И хотя с момента своего появления он претерпел некоторые обновления и модификации, это анахронизм в мире вредоносных программ, который продолжает работать гораздо эффективнее, чем ожидалось.

Типичное фишинговое письмо MyDoom содержит темы, указывающие на ошибку доставки или тестирование. Заголовки писем содержат причину отказа и пользовательский "Content-Type". Также имеется вложение, которое может быть или не быть заархивировано. Это вложение (если оно не заархивировано) является исполняемым файлом MyDoom.

FortiGuard Labs столкнулась со следующими темами сообщений в ходе недавнего расследования:

  • Click me baby, one more time
  • RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS
  • Isnydosj anhr
  • ayownizdiitis
  • Delivery failed
  • Test
  • Delivery reports about your e-mail
  • Status
  • Returned mail: Data format error
  • RETURNED MAIL: DATA FORMAT ERROR
  • Returned mail: see transcript for details
  • Mail System Error - Returned Mail

Также было обнаружено, что следующие имена вложений используются неоднократно:

  • document.zip
  • transcript.zip
  • letter.zip
  • attachment.zip
  • .zip
  • message.zip
  • message.scr
  • golfasian.com
  • readme.scr
  • mail.zip
  • text.cmd
  • [random number]@7686f6a96.com
  • file.zip
  • attachment.scr

Исполняемые файлы MyDoom, прикрепленные к фишинговым письмам, имеют расширение, скрытое по умолчанию в большинстве систем Windows (.cmd, .scr, .com и т.д.). Это повышает вероятность того, что пользователи не опознают его как вредоносный.

Несмотря на расширение, файл представляет собой 32-разрядный исполняемый файл Windows, упакованный с помощью упаковщика UPX (Ultimate Packer for Executables)  для сжатия и затруднения анализа.

С учетом вышесказанного, UPX существует уже довольно давно. При использовании без модификации, оригинальный исполняемый файл легко распаковать с помощью самого инструмента.

Упаковщик распаковывает и выполняет фактический код MyDoom. При выполнении происходит попытка изменить настройки брандмауэра Windows.

Пользователь, вошедший в систему, увидит запрос на предоставление доступа исполняемому файлу для передачи данных через брандмауэр.

Далее MyDoom создает свою копию, помещает ее в папку "Temp" (C:\Users\<user>\AppData\Local\Temp) и меняет имя на известное приложение/процесс Windows. В данном случае используется "lsass.exe".

Он также создает файл, полный мусорного текста, который после создания больше не упоминается.

MyDoom взаимодействует через порт 1042 как для отправки, так и для получения.

Он вращается по нескольким возможным C2-доменам в попытке найти активный. Как часть наследия распространения через утилиты обмена файлами, MyDoom также засоряет папку "C:\Program Files\Common Files\Microsoft Shared" несколькими версиями себя. Он переименовывает себя в некоторые теперь уже очень старые и устаревшие приложения (например, Kazaa Lite) со случайным именем или фразой.

Имена приложений включают:

  • Kazaa Lite
  • Harry Potter
  • ICQ 4 Lite
  • WinRAR.v.3.2
  • Winamp 5.0 (en) Crack
  • Winamp 5.0 (en)

Несмотря на свой преклонный возраст, в природе все еще встречаются свежие заражения MyDoom, а также соответствующие фишинговые события. Это показывает, что даже старые вредоносные программы могут быть опасны независимо от их возраста.

Indicators of Compromise

IPv4 Port Combinations

  • 12.166.196.8:1042
  • 129.204.109.121:1042
  • 129.243.132.29:1042
  • 129.81.101.242:1042
  • 141.154.253.115:1042
  • 141.240.190.28:1042
  • 141.240.203.6:1042
  • 141.240.211.237:1042
  • 148.193.135.228:1042
  • 15.14.59.199:1042
  • 15.228.15.126:1042
  • 15.228.161.161:1042
  • 15.24.69.27:1042
  • 15.244.197.9:1042
  • 15.59.127.133:1042
  • 15.63.9.76:1042
  • 15.75.188.252:1042
  • 15.9.79.129:1042
  • 15.98.11.12:1042
  • 152.16.43.135:1042
  • 16.100.121.101:1042
  • 16.102.137.19:1042
  • 16.102.153.27:1042
  • 16.115.197.163:1042
  • 16.125.202.53:1042
  • 16.126.107.216:1042
  • 16.150.138.126:1042
  • 16.80.195.68:1042
  • 16.83.199.36:1042
  • 162.28.185.188:1042
  • 166.77.123.68:1042
  • 195.75.252.98:1042
  • 198.89.160.22:1042
  • 216.114.194.30:1042
  • 216.128.188.41:1042
  • 220.234.104.158:1042
  • 24.148.141.102:1042
  • 24.190.210.189:1042
  • 65.6.113.38:1042
  • 66.248.57.65:1042
  • 66.43.244.133:1042
  • 67.120.102.206:1042
  • 67.121.94.10:1042
  • 67.171.253.156:1042
  • 68.158.45.83:1042
  • 68.223.45.7:1042
  • 70.241.87.215:1042

SHA256

  • 009ac15d56c3a5149f10c833b5cc191eede4d33485cab7bc3dd94675a462608c
  • 04123ec908c4a60282fa35fed76a377b22a49b6f9bfaf5a81121fd7204b4b83d
  • 10502c24bb63af929da22ec306f44f9e557b4e3bbf588afd1a7f190aa9840938
  • 113db96ddc72fb3300e981c7691cd202d3d0a5b097e84cd41eee6a54d868bf31
  • 11a86a2388c501773b52ae79ee1f7504caca6c25d835d40b8afc9ebe29c7a26d
  • 1302161ca791b3fc01188582a075bbfcfeb5f28715ad527be0fe625ec452b1eb
  • 1b1e2421dc3d96a8b9dd58d9cc74730c966250df7c33a1e0df50d983e674b7bc
  • 1f442b9ff3c9225e3eaa9c74d16b3a74117bb66e1d372ca15b6154d386a93e57
  • 20b372391f4d0fd9e4f69fc950456b557fab27f7bbbdeede36cff404e35614aa
  • 21ee754775ca9f76b2d18d0b87722ffa0c9ab0f676e4aa6ac4881dff580087ac
  • 2744c29d98a144fabda0ac75264235cd82b798f3bd5a56fab2ad28ec218b94c8
  • 2ddc70753893167b7b5d15c1e3cf6f22b6d8a0ee8a4aaea93c40655608f6fc75
  • 31fd079696a071a48fd4a66588adb22e36dd96028792fb416bcee0f099d6e5cb
  • 34d9e11e71fe18f9eb290461714826e1069a129d44db25c6c4fe581f883cbc07
  • 35bb66f1cc9e820ef50c22d0abb0f5f7ba8724bebb4a5a795e68790943742928
  • 3df99ae8f2083419fd030c42ca6729b6e5319df6aca1204d7081ce6ea91c69da
  • 4864f84ea0f6939751310a2cca43e71a57171f37679cb7853d29a083b1617a09
  • 48c70041def3bf288f7f85ee96eb59a2f7d965963a66e0c86fb3c88b3e079386
  • 505b177a6c24c69a9fda1e78db7421fad4893d7c07e3cea91897decfbc4510be
  • 59ad199d81590be7b83768227fe3a79b115f6c978b8715864ae0e22e5d324e36
  • 5a6c1929f55baff2e786336c07f02c5d13194ff765073dcdfcae1b0cb53da5bc
  • 5cb5efc8e0be0bf32eb73fbdaebedacf70cba946f5dfaea7166dcd0f4ca5989f
  • 5e99396cf134fea102470525d5105afb697b9131d891990e2dc8c9e5e34f8165
  • 6155f0562adfaa75cf46f674cf094d3f23c27b38c8009b6982f48ca4e77c95b1
  • 6223e126a65ba888182d3369adacc7268bd78555f0426653f5b5dd963d4c31a4
  • 6bbcc015c5a72b03601f8087c57024a7e74975dfb567b867c3404958e4239c9c
  • 7b596caceaf2e8a139c01eaf67e5e52ff3247ca6d20112ea9ce59a02a1a5bb7d
  • 8d4dcf463e7a69cd1b3039779d9d36c8a4669444b30d3261f876b7720bdb6752
  • 92018aff6737899f94aed2461b6e4182383b6677be2e8d4f82098265d74fb913
  • 942ef9da07de7d70c2efcfc20e375e6919a521d44ddabf9369042aea1553f712
  • 9a2f837a8adb16632ce4ec3c8b02037a4e96e66e6737ef1169afb2e48e46aa6a
  • 9bf413a9d9b3b17767f0a93450f834947475765b2fd1ecccaa943f8ce9d58082
  • 9fc0179c7407476ced89b6124fa52f10d178f3a07e3d50c860b1ced98fb77541
  • 9fcf4b0e00d20060274861b41b2c13b68dfedbd2ac0012436b13960b2a570d4f
  • a966f61a86dae4737f99d5b7668b0fcab3124125d2030faa08855ae12c9525ee
  • ad29b1c0423a878758a444ad6bf38aa2ad276a98f0ca552b475d890db631f48b
  • ad37758c362a38a8718837ece40ed5699e40de11ed58a586c2a6a6d8bb5251bf
  • bfaf49a691792a29024a75119a9841caacefb306494ca011a42b46c12ca65895
  • c12e27b30706dd1d11e5822285e209a187724148a682d178f1e2bc3f8d670ea7
  • d438e3ec7bd0fa4b231a6a1704d89f117d3b6b6ba342915b4d095027d0fe4c90
  • d599d4343fe3d831bcad8ea7305f050608a182f99636ea9e87c9400d19fae043
  • e745cc1ae5a89a9f2b4b0eabbac342520703b03f68dafeb6d29194fe19e899e9
  • eb5bfbb3be5300c1231a8ece93d239b7a02a4f308d7efe85d604f06d3aca57ad
  • eba7ec36cb9cc3c3677f5325ee9f755fefe885235849aede61a0b130a9f6255b
  • ecda9c446dd6aa0018cd5fc9c99ba846484f8d2a81d7f97167d89b890e4d5c1a
  • f5dc449255319cebd38ce255060a8019e0f5697de8ac31353c7d067d9e1218e6
Комментарии: 0
Похожие записи
0
11 дней
IOC

Fortinet выявляет вредоносные пакеты в дикой природе

security
Лаборатория FortiGuard Labs провела анализ пакетов вредоносного программного обеспечения, обнаруженных с начала ноября 2024 года, и идентифицировала различные методы, используемые для эксплуатации уязвимостей системы.
0
18 дней
IOC

Havoc : SharePoint с Microsoft Graph API превращается в FUD C2

security
Havoc - это мощный командно-контрольный фреймворк (C2). Как и другие известные C2-фреймворки, такие как Cobalt Strike, Silver и Winos4.0, Havoc использовался в кампаниях злоумышленников для получения полного контроля над целью.
0
22 дня
IOC

Winos 4.0 распространяется через выдаваемые за официальные электронные письма среди пользователей в Тайване

security
Лаборатория FortiGuard Labs обнаружила новую атаку в январе 2025 года, использующую Winos4.0 - продвинутый фреймворк вредоносного ПО, который способствовал недавним кампаниям по борьбе с угрозами в Тайване.