Mydoom.aa

Po uruchomieniu robak kopiuje się do foldera \Windows\System z nazwą avpr.exe i tworzy w rejestrze systemowym klucz auto-run:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Avpr"="%System%\avpr.exe". Dodatkowo szkodnik tworzy w folderze \Windows\System plik tcp5424.dll, który zawiera procedurę backdoor. Także dla tego pliku tworzony jest klucz rejestru systemowego:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "Default"="%SysDir%\tcp5424.dll". W rezultacie biblioteka robaka uruchamiana jest jako potomek procesu Explorer.exe. W celu oznaczenia zainfekowanego komputera szkodnik tworzy dodatkowy klucz rejestru:

[HKLM\Software\Microsoft\Windows\Ddinfect]

oraz unikatowy identyfikator w pamięci - My-Game. Szkodnik zmienia zawartość standardowego pliku hosts znajdującego się w folderze \Windows. W rezultacie użytkownik zainfekowanego komputera nie będzie mógł wejść na strony WWW firm antywirusowych. Robak tworzy w folderze \Windows\System plik msg15.txt zawierający poniższy tekst:

Lucky's Av's ;P~. Sasser author gets IT security job and we will work with Mydoom , P2P worms and exploit codes. Also we will attack f-secure,symantec,trendmicro,mcafee , etc. The 11th of march is the skynet day lol . When the beagle and mydoom loose, we wanna stop our activity.

Dodatkowo szkodnik podejmuje próby pobierania z Internetu pliku scran.jpg i zapisywania go w folderze głównym dysku C: z nazwą Scran.exe. Plik ten zawiera innego robaka - Worm.P2P.Scranor.a. Mechanizm wysyłający zainfekowane wiadomości jest identyczny, jak ten wykorzystywany przez szkodnika I-Worm.Mydoom.a. Treść wiadomości składa się z trzech części wybieranych losowo z trzech poniższych grup: Daily Report. (...), Important Information, Reply your document.