Worm.Win32.Doomjuice.b - Mydoom ciągle modny
Podczas uruchamiania robak kopiuje się do folderu systemowego Windows z nazwą regedit.exe i tworzy w rejestrze systemowym klucz auto-run:
W celu oznaczenia zainfekowanego komputera robak tworzy w pamięci unikatowy identyfikator _sncZZmtx_133.
W celu rozprzestrzeniania wykorzystywane są komputery zainfekowane robakami Adresy IP, które robak wybiera do nawiązania połączenia maja postać A.B.C.D, gdzie:
Robak sprawdza datę systemową i jeżeli zawiera się ona w między ósmym, a dwunastym dniem miesiąca (a także przez cały styczeń) robak nie przeprowadza żadnego ataku DoS. Jednak we wszystkich pozostałych miesiącach szkodnik atakuje witrynę www.microsoft.com wysyłając komendy GET z następującymi parametrami:
Microsoft\Windows\CurrentVersion\Run
NeroCheck = %system%\regedit.exe
3 4 6 8
9 11 12 13
14 15 16 17
18 19 20 21
22 24 25 26
28 29 30 32
33 34 35 38
40 43 44 45
46 47 48 49
50 51 52 53
54 55 56 57
61 62 63 64
65 66 67 68
80 81 128 129
130 131 132 133
134 135 136 137
138 139 140 141
142 143 144 145
146 147 148 149
150 151 152 153
154 155 156 157
158 159 160 161
162 163 164 165
166 167 168 169
170 171 172 173
174 175 176 177
178 179 180 181
182 183 184 185
186 187 188 189
190 191 193 194
195 196 198 199
200 201 202 203
204 205 206 207
208 209 210 211
212 213 214 215
216 217 218 219
220 225 226 227
228 229 230 231
232 233 234 235
236 237 238 239
GET / HTTP/1.1
Accept: */*
Accept-Language: en-us or Accept-Language: en
Accept-Encoding: gzip, deflate or blank
User-Agent: Mozilla/4.0
(compatible; MSIE 5.0; Windows NT 5.0) or
User-Agent: Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1) or
User-Agent: Mozilla/4.0
Host: www.microsoft.com:80