本文介绍的是MyDoom (aka. Lyzapo,总计攻击了韩国和美国政府网站多次的病毒)相关内容。

7月4日起,这个病毒对多个政府网站进行了DDoS攻击,国外安全机构也多次预警,安全机构所描述的"The malware would look to pull a file with a ".gif" extension from the following list of hosts"(ShadowServer, http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20090710),GIF格式的更新文件名是“FLASH.GIF”。

但是更新回来的看起来并不是最原始的msiexec1.exe(或称msiexec2.exe)。

相关分析请见:http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1552.entry

已知的几个变种:
6e5b00560a3c5bb92dfacb3766d6d7bc : Win32:Lyzapo [Drp]
04A3552A78ED2F8DC8DC9A77EE9EB281 : Win32:Lyzapo [Drp]
BCB69C1BAB27F53A0223E255D9B60D87 : Win32:Lyzapo [Drp]
6350758B62484765239057218BD81D9E : Win32:Lyzapo [Drp]
65ba85102aaec5daf021f9bfb9cddd16 : 收集来时名称已经被打乱,估计是组件Timer.DLL, Win32:Trojan-gen {Other}
93322E3614BABD2F36131D604FB42905 : Win32:Lmir-BK [Trj]
233214D0B3E04DF6282F1056EB31C5CE : JPEGDropExe (有一个JPEG头还有一个RAR!头以及一个MZ头,MZ头起为病毒)
2F5DD86E52C93B63CB25DC907FF7843C : Win32:Trojan-gen {Other}
F5C6B935E47B6A8DA4C5337F8DC84F76 : (wversion.exe) Win32:Trojan-gen {Other}

55C361AD40DF5FF9A13477BFC79559CE : 对美国政府网站攻击的配置文件,这是其一个早期变种,在美国独立日(7月4日)时的样本,其中包含如下目标地址:
www.whitehouse.gov;www.faa.go;www.ustreas.gov;www.dhs.gov;www.state.gov;www.dot.gov;www.ftc.gov;www.nsa.gov;www.usps.gov;www.voa.gov;www.yahoo.com;www.defenselink.mil;travel.state.gov;www.nyse.com;www.nasdaq.com;www.site-by-site.com;www.marketwatch.com;finance.yahoo.comwww.usauctionslive.com;www.usbank.com;www.amazon.com;

4b834eadab00115c65f3563fd1dd299a :对美国及韩国政府网站攻击的配置文件,其中包含如下目标地址:
www.president.go.kr;www.mnd.go.kr;www.mofat.go.kr;www.assembly.go.kr;www.usfk.mil;blog.naver.com;mail.naver.com;banking.nonghyup.com;ezbank.shinhan.com;ebank.keb.co.kr;www.hannara.or.kr;www.chosun.com;www.auction.co.kr;www.whitehouse.gov;www.faa.gov;www.dhs.gov;www.state.gov;www.voanews.com;www.defenselink.mil;www.nyse.com;www.nasdaq.com;finance.yahoo.com;www.usauctionslive.com;www.usbank.com;www.washingtonpost.com;www.ustreas.gov;