Repéré notamment par F-Secure, Mydoom se propage à grande vitesse en utilisant les messageries email mais également les réseau d’échange Peer-to-Peer type Kazaa.

Comme d’habitude, le virus arrive sous forme de mail. L’objet comporte différentes accroches : test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status Error.

Le corps du message contient : « Test », « The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment ». Ou encore « The message contains Unicode characters and has been sent as a binary attachment ». « Mail transaction failed ». « Partial message is available ».

Les pièces jointes sont « document », « readme », « doc », « text », « file », « data », « test », « message », « body » avec les extensions : pif, scr, exe, cmd, bat.

Il s’installe sur le système sous le nom de ‘taskmon.exe’. Une fois la machine infectée le ver active Windows Notepad et installe une porte-dérobée « backdoor » en créant un fichier SHIMGAPI.DLL sur le système 32 de Windows. Il l’exécute ensuite à travers un process de IEPLORE.EXE.

Ce ver a une vocation politique. Il est programmé pour conduire une attaque par Déni de Service sur le site Internet de l’éditeur SCO. Mydoom tente de contourner les outils ant-spam en remplaçant les « @ » par des « at ».

Après le 1er Février, Mydoom s’activera à chaque boot de la machine et tentera d’ouvrir la page de l’éditeur de solutions UNIX, SCO www.sco.com et tentera de s’y connecter chaque seconde à partie de chaque machine infectée à travers le monde. Le requête, très simple « GET / HTTP/1.1 », est programmée pour surcharger le serveur web de SCO.

Comme Bagle et autres Sobig il est programmé pour s’auto-détruire le 12 Février.