Jest to robak rozprzestrzeniający się przez internet, podobnie jak jego pierwowzór, przy użyciu komputerów zainfekowanych szkodnikiem Mydoom. Jego rozmiar to około 5 KB (kompresja UPX, rozmiar po rozpakowaniu - około 6 KB). Robak przeprowadza atak DoS na stronę internetową firmy Microsoft.

Instalacja

Podczas uruchamiania robak kopiuje się do folderu systemowego Windows z nazwą regedit.exe i tworzy w rejestrze systemowym klucz auto-run:

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
NeroCheck = %system%\regedit.exe

W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator _sncZZmtx_133.

Rozprzestrzenianie

W celu rozprzestrzeniania wykorzystywane są komputery zainfekowane robakami Mydoom.a oraz Mydoom.b. Robak podejmuje próbę połączenia się z portem TCP 3127, który Mydoom otwiera na zainfekowanych maszynach. Jeżeli zarażony komputer odpowie na wysłane żądanie, Doomjuice nawiązuje połączenie i wysyła własna kopię, która jest uruchamiana przez backdoora instalowanego przez Mydooma.

Adresy IP, które robak wybiera do nawiązania połączenia maja postać A.B.C.D, gdzie:

• wartość A wybierana jest z poniższej listy:

  3	4	6	8	
  9	11	12	13
  14	15	16	17
  18	19	20	21
  22	24	25	26
  28	29	30	32
  33	34	35	38	
  40	43	44	45
  46	47	48	49
  50	51	52	53
  54	55	56	57
  61	62	63	64
  65	66	67	68
  80	81	128	129	
  130	131	132	133
  134	135	136	137
  138	139	140	141
  142	143	144	145
  146	147	148	149
  150	151	152	153
  154	155	156	157
  158	159	160	161
  162	163	164	165
  166	167	168	169
  170	171	172	173
  174	175	176	177
  178	179	180	181
  182	183	184	185
  186	187	188	189
  190	191	193	194
  195	196	198	199
  200	201	202	203
  204	205	206	207
  208	209	210	211
  212	213	214	215
  216	217	218	219
  220	225	226	227
  228	229	230	231
  232	233	234	235
  236	237	238	239 
  

• wartości B oraz C generowane są losowo,
• wartość D wybierana jest po kolei z przedziału od 0 do 256.

Atak DoS

Robak sprawdza datę systemową i jeżeli zawiera się ona w między ósmym, a dwunastym dniem miesiąca (a także przez cały styczeń) robak nie przeprowadza żadnego ataku DoS. Jednak we wszystkich pozostałych miesiącach szkodnik atakuje witrynę www.microsoft.com wysyłając komendy GET z następującymi parametrami:

GET / HTTP/1.1
Accept: */*
 
Accept-Language: en-us or Accept-Language: en 

Accept-Encoding: gzip, deflate or blank

User-Agent: Mozilla/4.0 
(compatible; MSIE 5.0; Windows NT 5.0) or
User-Agent: Mozilla/4.0 
(compatible; MSIE 6.0; Windows NT 5.1) or
User-Agent: Mozilla/4.0
 
Host: www.microsoft.com:80