Jest to robak rozprzestrzeniający się przez Internet za pośrednictwem wiadomości e-mail. Zainfekowany e-mail nie zawiera kopii robaka, lecz wyłącznie odsyłacz do pliku znajdującego się na komputerze, z którego wysłano wiadomość. Plik ten uruchamiany jest na atakowanym komputerze za pośrednictwem luki w zabezpieczeniach przeglądarki Internet Explorer. Robak ma postać pliku PE EXE o rozmiarze około 21 KB (kompresja MEW, rozmiar po rozpakowaniu - około 135 KB). Szkodnik wyposażony jest w procedurę backdoor, która może być kontrolowana za pośrednictwem kanałów IRC.

Instalacja

Po uruchomieniu robak kopiuje się do foldera \Windows\System z losową nazwą (na jej końcu zawsze znajduje się ciąg 32.exe), przykładowo:

C:\WINDOWS\SYSTEM32\kfilaxm32.exe

Następnie szkodnik tworzy w rejestrze systemowym klucz auto-run zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Rhino" = "%System%\32.exe"

Rozprzestrzenianie - poczta elektroniczna

Szkodnik pobiera adresy potencjalnych ofiar z książki adresowej systemu MS Windows oraz z plików posiadających następujące rozszerzenia:

ADBH
ASPD
DBXN
HTMB
PHPQ
PL
SHTL
TBBG
TXT
WAB

Zainfekowane wiadomości nie są wysyłane pod adresy zawierające poniższe teksty:

.edu
.gov
.mil
abuse
accoun
acketst
admin
anyone
arin.
avp
berkeley
borlan
bsd
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov.
help
hotmail
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
me
mit.e
mozilla
msn.
mydomai
no
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje bezpośrednie połączenie z serwerem SMTP odbiorcy.

Charakterystyka zainfekowanych wiadomości e-mail

• Adres nadawcy (wybierany spośród poniższych możliwości):

  adam
  alex
  alice
  andrew
  anna
  bill
  bob
  brenda
  brent
  brian
  claudia
  dan
  dave
  david
  debby
  fred
  george
  helen
  jack
  james
  jane
  jerry
  jim
  jimmy
  joe
  john
  jose
  julie
  kevin
  leo
  linda
  maria
  mary
  matt
  michael
  mike
  peter
  ray
  robert
  sam
  sandra
  serg
  smith
  stan
  steve
  ted
  tom
  

• Domena nadawcy (pobierana z zainfekowanego komputera lub wybierana z poniższych możliwości):

  aol.com
  hotmail.com
  msn.com
  yahoo.com
  

• Temat (wybierany z poniższych możliwości):

  funny photos :)
  hello
  hey!
  

• Treść wiadomości (wybierana z poniższych możliwości):

  FREE ADULT VIDEO! SIGN UP NOW!
  Look at my homepage with my last webcam photos!
  

• Załącznik - zainfekowane wiadomości nie posiadają żadnego załącznika. Robak umieszcza w treści odsyłacz do zainfekowanego pliku znajdującego się na komputerze, z którego wysyłana jest wiadomość. Odsyłacz ten posiada następującą postać:

  http://(adres IP komputera zawierającego zainfekowany plik):(numer portu)/(nazwa pliku)

  Robak otwiera port TCP o numerze 1639 lub wyższym, co pozwala na pobranie pliku.

• Podpis wiadomości (wybierany z poniższych możliwości):

  Checked by Dr.Web (http://www.drweb.net)
  Checked for viruses by Gordano's AntiVirus Software
  scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
  

Zdalne zarządzanie

Robak otwiera port TCP 6667 i oczekuje na zdalne polecenia przesyłane za pośrednictwem kanałów IRC.

Inne znane nazwy robaka

W32.Mydoom.AI@mm (Symantec),   Win32.HLLM.MyDoom.4 (Doctor Web),   W32/Bofra-A (Sophos),   Win32/Mydoom.AG@mm (RAV),   WORM_BOFRA.A (Trend Micro),   Worm/MyDoom.AG (H+BEDV),   W32/Mydoom.AJ@mm (FRISK),   Win32:Bofra (ALWIL),   I-Worm/Mydoom.AC (Grisoft),   Win32.Worm.Korgo.1.Gen (SOFTWIN)