攻击者通常都要保持恶意软件与攻击技术在最新，但不要因此认为陈旧的恶意软件就会销声匿迹。研究人员在近期就发现了使用 MyDoom 蠕虫的攻击行动。MyDoom（也被称为 Novarg 与 Mimail）在 2004 年被首次发现，距今已经接近二十年了。

典型的 MyDoom 钓鱼邮件通常以邮件退回为主题，电子邮件头会标明退回的原因与自定义的 Content-Type。邮件通常会携带一个附件，有时是压缩的，但也可以不压缩。

被发现的相关恶意邮件标题如下所示：

Click me baby, one more time

RETURNED MAIL: SEE TRANSCRIPT FOR DETAILS

Isnydosj anhr

ayownizdiitis

Delivery failed

Test

Delivery reports about your e-mail

Status

Returned mail: Data format error

RETURNED MAIL: DATA FORMAT ERROR

Returned mail: see transcript for details

Mail System Error – Returned Mail

邮件的恶意附件名如下所示：

document.zip

transcript.zip

letter.zip

attachment.zip

.zip

message.zip

message.scr

golfasian.com

readme.scr

mail.zip

text.cmd

<random number>@7686f6a96.com

file.zip

attachment.scr

钓鱼邮件携带的 MyDoom 可执行文件通常会带有一个被 Windows 系统隐藏的扩展名（.cmd、.scr、.com 等），这使得用户降低了警惕。

尽管文件扩展名不同，但该文件是一个 32 位可执行文件，并且使用 UPX 加壳。

UPX 壳历久弥新，由于攻击者并未定制修改，使用工具即可很容易地进行脱壳。

执行 MyDoom ，恶意样本会尝试修改 Windows 防火墙设置。

用户会看到一个弹出请求，要求给予可执行文件访问权限以通过防火墙进行通信。