I løbet af natten til torsdag har virusfirmaet Virus112 set en kraftig stigning i antallet af en ny udgave af MyDoom-ormen. Den nye udgave vil forsøge at hente et spam-værktøj ned på den inficerede computer.
Ormen spreder sig ved hjælp af e-mails med falske afsendernavne. Det kan for eksempel være "returned mail" eller "MAILER-DAEMON". Afsenderadressen kan også være forfalsket til for eksempel postmaster@, med modtagerens domænenavn efter @.
Ormen forsøger at lokke modtageren til at åbne den vedhæftede fil, ved at have "Delivery failed", eller "Mail system error - returned mail", som emne for mailen.
Den vedhæftede fil er en zip-fil. Hvis den åbnes, vil den skanne den inficerede computer for e-mail adresser, som den kan sende sig selv videre til.
Samtidig åbner ormen en bagdør, som lytter på TCP port 1034.
Virus112 regner med, at bagdøren skal bruges til at skaffe bagmanden adgang til den inficerede computer.
Derudover vil den forsøge at skanne efter andre computere på nettet der er inficeret. Finder ormen en inficeret computer, gemmer den ip-adressen i krypteret format i filen "% Temp %zincite.log"
Endelig forsøger ormen at finde e-mail adresser på nettet ved at søge på for eksempel Google.
Virus112 har sat trusselniveauet til gul, der svarer til
middel risiko.
»Ormen har potentiale til at opnå en stor udbredelse, i stil med de andre Mydoom- orme, som er kendetegnet ved at være godt konstrueret,« siger Suzette Wagner, sikkerhedskonsulent i Virus112.
