Biến thể Mydoom.P, mà một số hãng phần mềm an ninh còn gọi là Mydoom.Q (như F-Secure) hay Evaman.C, có đặc điểm đáng chú ý nhất là khả năng lợi dụng trang tìm kiếm thông tin cá nhân Yahoo People Search để thu thập địa chỉ e-mail. Thủ đoạn này từng được sử dụng trong hai phiên bản Mydoom.M và Mydoom.O tuần trước, khiến nhiều dịch vụ search trực tuyến bị ảnh hưởng nặng nề. “Tin tặc sẽ còn sử dụng chiến thuật tương tự ở nhiều loại virus trong tương lai”, chuyên gia Graham Cluley của hãng Sophos (Anh) nhận định.
Giống như hầu hết các biến thể trước, Mydoom.P có những đặc tính tiêu biểu như phát tán qua e-mail số lượng lớn dưới dạng những thông báo lỗi hệ thống hoặc lỗi gửi mail, mang theo một file đính kèm và cố gắng vô hiệu hóa các ứng dụng an ninh trên máy mục tiêu. Nội dung e-mail chứa những câu ngẫu nhiên, một số nhắc tới file ZIP mang mã virus. Khi được mở ra, file này sẽ tự sao chép vào thư mục Windows dưới tên “winlibs.exe.”. File thực hiện có một danh sách hàng chục họ và tên mà Mydoom.P cài vào Yahoo's 'People để tìm địa chỉ e-mail liên quan đến những cái tên này.
Tuy nhiên, tốc độ lây lan của biến thể này chậm nên địa chỉ Yahoo's People không bị ảnh hưởng đáng kể. Hầu hết các hãng phần mềm an ninh đều xếp Mydoom.P vào loại nguy cơ thấp, cấp 2 so với Mydoom.O và M được xếp ở cấp 4.
Trong một thông báo trên website của mình, Sophos nhắc lại với người sử dụng chuyện cả Microsoft và SCO từng tuyên bố thưởng tổng cộng 500.000USD cho những ai cung cấp thông tin dẫn đến việc bắt giữ tác giả của Mydoom. Cả 2 công ty nói trên đều là nạn nhân của của các cuộc tấn công từ chối dịch vụ do những phiên bản đầu tiên của họ Mydoom gây ra hồi tháng Giêng.
“Chắc chắn sẽ có ai đó trong thế giới ngầm của hacker biết cá nhân hoặc nhóm nào đứng đằng sau Mydoom”, chuyên gia Cluley nói.”Bây giờ là lúc họ nên lên tiếng”.
Phan Khương (theo InternetWeek, The Register)