I kølvandet på e-mail-ormen Mydooms hærgen på internettet er der dukket en ny type orm op, som bygger videre på det arbejde, Mydoom allerede har udført.
Først kom ormen Deadhat, og mandag kom ormen Doomjuice, der også er blevet døbt Mydoom.C.
Fælles for begge orme er, at de ikke spreder sig via e-mail, men derimod afsøger netværket for at opspore Windows-pc'er, der allerede er inficeret med Mydoom.
Mydoom-varianterne A og B installerer begge en bagdør. Det er den bagdør, som både Deadhat og Doomjuice benytter til selv at få adgang til pc'en.
Angriber Microsoft
Doomjuice er ligesom de to Mydoom-varianter lastet med et tidsindstillet netværksangreb, denne gang udelukkende mod webstedet microsoft.com.
Fra 9. februar til 12. februar iværksætter Doomjuice sit angreb mod Microsoft med tilfældige intervaller. Efter 12. februar vil ormen starte sit angreb, i samme øjeblik programmet startes.
Doomjuice starter op til 80 parallelle tråde, som hver især forsøger at hente index-siden hos webserveren microsoft.com i en uendelig løkke.
Antivirusfirmaerne har kategoriseret Doomjuice som en lavrisiko-orm, da ormen kun kan sprede sig til pc'er, der allerede er inficeret med Mydoom. Dermed er der en naturlig øvre grænse for, hvor mange maskiner der kan blive inficeret.
Til gengæld kan programmøren bag Doomjuice være forholdsvis sikker på, at de maskiner, som er inficeret med Mydoom, ikke har et opdateret antivirusprogram installeret. De samme maskiner vil derfor være sårbare for at blive inficeret med nye orme, indtil systemet renses og sikres.
Antivirusfirmaer om Doomjuice