Nová varianta červa Mydoom dostala od antivirových společností hned několik označení. Nejčastěji se setkáme s názvy Mydoom.BB nebo Mydoom.AX.
Po spuštění se červ usídlí ve složce operačního systému Windows pod názvem java.exe. Dále je ve stejné složce vytvořen soubor services.exe, obsahující trojského koně Zincite.A.
Červ během své činnosti sbírá emailové adresy z adresáře Outlooku a rovněž i ze souborů s příponami .pl* , .ph* , .tx* , .ht* , .asp , .sht , .adb , .dbx a .wab. Nový Mydoom však není žádný troškař a proto další emailové adresy získává hned ze čtyřech světových vyhledávačů pomocí GET požadavků. Za vyhledávací nástroje jsou zvoleny tyto adresy: search.yahoo.com , search.lycos.com , www.altavista.com , www.google.com.
Rozesílání infikovaných emailů zajišťuje vlastní SMTP engine červa. Klasické hlavičky jsou opět smyšlené, resp. poskládané z následujících fragmentů:
Od: (náhodně zvolena jedna z varianta) "Postmaster" , "Mail Administrator" , "Automatic Email Delivery Software" , "Post Office" , "The Post Office" , "Bounced mail" , "Returned mail" , "MAILER-DAEMON" , "Mail Delivery Subsystem".
Předmět emailu: hello , hi , error , status , test , report , delivery , failed , Message could not be delivered , Mail System Error - Returned Mail , Delivery reports about your e-mail , Returned mail: see transcript for details , Returned mail: Data format error delivered
Vlastní tělo emailu je opět poskládáno z předpřipravených šablon. Oproti klasickému statickému textu však v těchto šablonách Mydoom provádí velké množství změn – například pro každého adresáta dynamicky upravuje oslovení a podpis.
Během rozesílání infikovaných zpráv se červ pokouší stáhnout a aktivovat backdoor Nemog.D z webu www.aoprojecteden.org.
Zdroj: Symantec
