A 2004. augusztus 16-án délelőtt felfedezett új "MyDoom.S" féregváltozat elődeihez hasonlóan e-mail üzenetekben terjed és káros fájlokat tölt le a webről.

A MyDoom néven is ismert féreg "S" változata (más néven Farex vagy Ratos) egyetlen levélsablont használva terjed az Interneten. A féreg által küldött levelek felépítése a következő:

A levelek (hamis) feladója az alábbiak bármelyike lehet:
adam, alex, alice, andrew, anna, bill, bob, bob, brenda, brent, brian, claudia, dan, dave, david, debby, fred, george, helen, jack, james, jane, jerry, jim, jimmy, joe, john, jose, julie, kevin, leo, linda, maria, mary, matt, michael, mike, peter, ray, robert, sam, sandra, serg, smith, stan, steve, ted, tom

A levelek tárgya mindig: "photos"

Levéltörzs: " LOL!;)))) "

A fájlmelléklet neve: "photos_arc.exe"

Fertőzés:
Ha valaki elindítja a mellékletet, a féreg "winpsd.exe" néven bemásolja magát a Windows rendszerkönyvtárba, és egy registry kulcs beállításával gondoskodik saját rendszerindításkori automatikus lefuttatásáról.

A féreg a memóriában létrehoz egy "mutex"-et (ún. kölcsönös kizárást) és ellenőriz egy registry kulcsot a többszörös fertőződések megakadályozására.

Ezen kívül a féreg még egy hátsóajtó komponenst is telepít a gépre, így távoli hozzáférést biztosít a fertőzött rendszerhez.

A féreg átkutatja a fertőzött gépen található fájlok egy részét, a továbbterjedéshez használható e-mail címek után kutatva.

A féreg álcázás céljából nem küld fertőzött levelet bizonyos címekre, amelyektől egy lista alapján óvakodik.

A féreg megkísérli lekérni a richcolour.com és a zenandjuice.com nevű webhelyek bizonyos oldalait. Ezeket a helyeket a hackerek feltörték és a féreg további komponenseinek terjesztésére használják.

Az F-Secure és Kaspersky Labs víruskereső programok a 2004. augusztus 16-án délelőtt kiadott version=2004-08-16_02 vagy annál újabb frissítésekkel már képesek észlelni a MyDoom.S férget. Trend Micro vírusirtó szoftver használata esetén 1.957.00 vagy nagyobb sorszámú pattern fájl szükséges.

Részletesebben: