Payload
* Installatie van een backdoor (zie hieronder)
* dDOS aanval op www.symantec.com
* Verwijdering van tal van bestanden
* Afsluiten van lopende processen (taakbeheer) van verschillene applicaties

Na installatie wordt een backdoor ge-installeerd, op poort 80 & 1080 wordt gewacht op instructies van de virusschrijver.
Uit te voeren acties zouden kunnen zijn:
* Het vastleggen van toetsbord-aanslagen
* Het openen en verwijderen van geinstalleerde software c.q. bestanden.
* Het uitvoeren van een dDOS aanval, startend op 1 februari 2004 gericht op de website van softwarebedrijf SCO.

Eigenschappen van het e-mailbericht:

* Afzender: [spoofed, ofwel adres is niet van de werkelijke afzender, kan bijvoorbeeld een e-adres zijn wat aanwezig is in het adressenboek van het verzendende c.q. besmette systeem.]

Veel voorkomend zijn de volgende persoonsnamen:
alex
bill
bob
james
john
kevin
peter
sales
sales
sales
sam
stan
tom

* Onderwerp: Subject:
:)
:-)
Address verification
Alert
Attention
Auto-reply
Automatic notification
Bank information
Daily Report
Email verification
Empty
Expired account
For your eyes only
Interesting
Micro$oft
Microsoft
Please, confirm the registration
Registration
Registration rejected
Rejected
Reply
Request
Response
See you soon
Warning
You have been successfully registered
Your account details
Your account is about to be expired
Your account is expired
Your details
Your profile
Your request
Your request
account details
anna
beauty
confirmed
corrupted
dear friend!
details
do you love me
do you still love me
document
excel
excuse me
from me
fw:
greetings
hello
hello
hello my friend
hello! :)
here
here is the document
hey
hey!
hi!
hi! :)
how are you?
i can tell you the future
i need you
important
jessica
join
just some stuff
kate
kleopatra
maria
melissa
message
micro$oft must die. support us!
missed
my details
my photos
notification
pamela
photo
please read
price
price list
price-list
pricelist
question
re:
read!!!
report
see you
service
some stuff
spreadsheet
stuff
summary
thank you
thanks
thanks!
unknown
verification
we're experiencing technical problems
we're unable to process your request
your account
your archive
your chance
your document
your letter
your music
your website

* Naam bijlagebestand:
AttachedDocument
AttachedFile
Document
Letter
MoreInfo
TextDocument
TextFile
account
all_document
application
archive
att
attach
attachment
bill
check
description
details
doc
document
file
for_you
found
id
important
info
information
letter
mail
message
message_details
message_part2
misc
more
msg
msg2
music
news
news
no
note
object
part2
payment
paypal
pic
post
posting
price
problem
ps
readme
reply
response
stuff
test
zip

met 1 van de volgende extensies:
.pif
.scr
.exe
.cmd
.bat
.zip

* Tekst van het bericht: [wisselend, een van onderstaand]
Details are in the attached document
Full message is in the attached documen
Here is the document
Here is the file
Here it is
Hi! Check the attachment for details
Look at the attached file
Look at the document
Ok
Okay
Open the document
Please have a look at the attached file
Please read the attached file
Please, read and let me know what do yo
Please, reply
Re:
Read the attached message
Read the document
Read this
See attachemnt
See attachment
See the attached document
See the attached file for details
See the attached message
See you
Test
Your document is attached
Your file is attached
test

Bestanden
1a. Mydoom.h is in staat om tal van copies te plaatsen op willekeurige locaties. De naamstelling en de extensie van deze bestanden is volstrekt willekeurig. Controleer bij twijfel de wijzigingsdatum van de bestanden, deze is gelijk aan de datum van infectie.

1b. Aanwezigheid van het bestand "taskmon.exe" in de Windows\System directory. (c:\Windows\System)
** let wel: deze bestandsnaam wordt ook door Windows gebruikt, u vindt dit normale windows-bestand op de locatie C:\Windows.
(Heeft u twijfels over dit bestand, controleer het dan met een online scanner, zie hieronder.)

Registry
2a. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
met de waarde:
"TaskMon" = [locatie bestand]\taskmon.exe

Overige,..
3a. Het sluit de lopende processen (taakbeheer) van onderstaande lijst van applicaties:
adaware.exe
alevir.exe
arr.exe
au.exe
backweb.exe
bargains.exe
belt.exe
blss.exe
bootconf.exe
bpc.exe
brasil.exe
bundle.exe
bvt.exe
cfd.exe
cmd32.exe
cmesys.exe
datemanager.exe
dcomx.exe
divx.exe
dllcache.exe
dllreg.exe
dpps2.exe
dssagent.exe
emsw.exe
explore.exe
fsg_4104.exe
gator.exe
gmt.exe
hbinst.exe
hbsrv.exe
hotfix.exe
hotpatch.exe
htpatch.exe
hxdl.exe
hxiul.exe
idle.exe
iedll.exe
iedriver.exe
iexplorer.exe
inetlnfo.exe
infus.exe
infwin.exe
init.exe
intdel.exe
isass.exe
istsvc.exe
jdbgmrg.exe
kazza.exe
keenvalue.exe
kernel32.exe
launcher.exe
lnetinfo.exe
loader.exe
mapisvc32.exe
md.exe
mfin32.exe
mmod.exe
mostat.exe
msapp.exe
msbb.exe
msblast.exe
mscache.exe
msccn32.exe
mscman.exe
msdm.exe
msdos.exe
msiexec16.exe
mslaugh.exe
msmgt.exe
msmsgri32.exe
msrexe.exe
mssys.exe
msvxd.exe
netd32.exe
nssys32.exe
nstask32.exe
nsupdate.exe
onsrvr.exe
optimize.exe
patch.exe
pgmonitr.exe
powerscan.exe
prizesurfer.exe
prmt.exe
prmvr.exe
ray.exe
rb32.exe
rcsync.exe
run32dll.exe
rundll.exe
rundll16.exe
ruxdll32.exe
sahagent.exe
save.exe
savenow.exe
sc.exe
scam32.exe
scrsvr.exe
scvhost.exe
service.exe
servlce.exe
servlces.exe
showbehind.exe
sms.exe
smss32.exe
soap.exe
spoler.exe
spoolcv.exe
spoolsv32.exe
srng.exe
ssgrate.exe
start.exe
stcloader.exe
support.exe
svc.exe
svchostc.exe
svchosts.exe
svshost.exe
system.exe
system32.exe
sysupd.exe
teekids.exe
trickler.exe
tsadbot.exe
tvmd.exe
tvtmd.exe
webdav.exe
win-bugsfix.exe
win32.exe
win32us.exe
winactive.exe
window.exe
windows.exe
wininetd.exe
wininit.exe
wininitx.exe
winlogin.exe
winmain.exe
winnet.exe
winppr32.exe
winservn.exe
winssk32.exe
winstart.exe
winstart001.exe
wintsk32.exe
winupdate.exe
wnad.exe
wupdater.exe
wupdt.exe

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.