En ny variant af internet-ormen Mydoom har siden syv-tiden mandag morgen spredt sig til et stort antal computere. Ifølge sikkerheds-eksperter bliver mails med den nye orm, W32.Mydoom.s@mm, udsendt i stort antal gennem tidligere Mydoom-inficerede maskiner.
Sikkerhedsfirmaet SoftScan oplyser at det endnu kun er et fåtal af antivirus-producenterne, der har frigivet en signatur til den nye variant. Derfor kan ormen i øjeblikket slippe forbi de fleste antivirus-programmer.
W32.Mydoom.s@mm ankommer i en e-mail med emnelinien »photos« og teksten »LOL;)))«. Den vedhæftede fil har navnet photos_arc.exe.
Virussen placerer filen raser38a.dll i Windows-mappen og winpsd.exe i system-mappen.
På den inficerede computer installeres en komponent, som forsøger at kontakte forskellige websteder, hvor virusprogrammøren har placeret et bagdørsprogram.
Virussen forsøger bl.a. at hente et program fra www.richcolour.com og zenandjuice.com.
W32.Mydoom.s@mm forsøger angiveligt også at forhindre, at antivirusprogrammet på computeren bliver opdateret ved at ændre i den såkaldte hosts-fil.