2004.07.26.-án este kezdett el terjedni az új változat, főként az USA-ban és németországban. A féreg levélmellékleten keresztül terjed akárcsak elődei.

A szükséges e-mail címeket a címjegyzékből, a "Temporary Internet Files" mappában található weblapokról, illetve bizonyos betűjelű meghajtókról veszi. Ha talált egy e-mail címet, levágja belőle a domain végződést, majd az alábbi keresőszervereken további címek után kutat ugyanabban a tartományban.

http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com

Az emberek hiszékenységére építve, hamisított feladójú leveleket küld szét a féreg az így megszerzett címekre, sikertelen kézbesítési üzenetnek álcázva magát.

Az üzenetnek változó tárgya, tartalma és melléklete van.

A terjedésen kívül a féreg egy hátsóajtó komponenst is telepít a gépre "SERVICES.EXE" néven, így távoli hozzáférést biztosít a fertőzött géphez. A hátsóajtó program az 1034-es TCP porton vár utasításokra.


Aki elkapta volna, annak itt az azonnali segítség:
W32.Mydoom.M@mm removal tool: