Mydoom

De verspreiding van Mydoom begon explosief in januari 2004. MessageLabs noemde het de snelst verspreidende worm ooit. Zeven jaar nadat hij voor het eerst werd gesignaleerd, blijkt de worm nog steeds actief[1].

Voor de verspreiding maakt Mydoom gebruik van e-mail en het peer-to-peernetwerk van Kazaa.

De mailtjes waarmee Mydoom zich verspreidt hebben wisselende kenmerken. Meestal is de bijlage een .exe, .pif, .cmd of .scr bestand, terwijl het eruitziet als een tekstbestand (.txt of .doc).

De tekst van het bestand is een ingewikkelde, technische tekst waardoor veel mensen geneigd zijn de bijlage te openen. In het verleden probeerden andere virussen dit ook wel door grappige filmpjes of seksueel getinte plaatjes in de bijlage te beloven.

Het virus kan alleen geactiveerd worden op pc's met Microsoft Windows.

Na de installatie van de worm wordt een zogenaamd achterdeurtje geïnstalleerd. Via de poorten 3127 tot en met 3198 wacht de pc op instructies. Anderen kunnen zo bepaalde acties op de pc trachten te doen, zoals

• toetsenbordaanslagen vastleggen (om zo bijvoorbeeld wachtwoorden te ontdekken);
• openen en/of verwijderen van software en andere bestanden;
• het uitvoeren van een DDoS-aanval.

• Informatie en verwijderinstructies op virusalert.nl