Ormen Mydoom har fået sig en naturlig fjende. En ny orm, Deadhat, også kendt som Vesser, afsøger netværket for Windows-pc'er inficeret med Mydoom-ormen og bruger derefter Mydooms bagdør til at få adgang til systemet.
Når Deadhat har fået adgang til en Mydoom-inficeret pc, kvitterer den for invitationen ved at dræbe Mydoom-programmet og afinstallere ormen.
Deadhat går efter både A og B-varianterne af Mydoom-ormen.
Selvom Deadhat afliver Mydoom på den inficerede pc, så betyder det langt fra, at Deadhat er en orm med gode intentioner. Deadhat installerer nemlig sin egen bagdør, en IRC-server, som kan give adgang til systemet.
Deadhat-ormen formerer sig først og fremmest ved at opspore Mydoom-inficerede pc'er, men den forsøger også at sprede sig via fildelingstjenesten Soulseek, hvor den camouflerer sig som kendte programmer.
Deadhat tilføjer en streng til Windows' registreringsdatabase, som starter ormen, hver gang systemet genstartes. Hver gang ormen startes, oprettes en ny fil med et nyt navn i Soulseeks mappe med delte filer.
Filstørrelsen vil dog altid være 55.808 bytes.
Deadhat blev opdaget lørdag, men selvom antivirusfirmaerne har opdateret virusprofilerne, vil det reelt ikke begrænse mulighederne for Deadhat, da den netop spreder sig til systemer, der allerede er inficeret med Mydoom, og derfor formentligt ikke har antivirus installeret.
Endnu er der dog ikke rapporteret om nogen betydelig spredning af Deadhat.
Antivirusfirmaer om Deadhat:
