Chứa sâu là một file thực hiện PE nặng 27.136 byte được gói kèm một trình nén UPX. Mydoom.S cố gắng tải file thực hiện từ 4 URL khác nhau lưu ngay bên trong nó. Những đường dẫn này đưa tới 2 địa chỉ www.richcolour.com và zenandjuice.com. Virus tự sao chép vào thư mục Windows System dưới tên “winpsd.exe” và tạo ra một chìa khóa khởi động cho file được copy vào mục Windows Registry như sau: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run] "winpsd.exe" = "%WinSysDir%\winlibs.exe".
Phần đính kèm của virus là một file có tên “photos_arc.exe”. Địa chỉ nguồn của tất cả những thư rác chứa Mydoom.S có vẻ xuất xứ từ một tập hợp các modem cáp và đường DSL. Điều này cho thấy nhóm tác giả Mydoom đang sử dụng một mạng lưới máy tính đã bị khống chế (botnet) mà chúng đã thiết lập bằng các biến thể Mydoom trước nhằm phát tán virus mới. Tin tặc rất tinh quái khi kiểm tra kỹ lưỡng để không một công cụ diệt virus hiện hành nào có thể phát hiện biến thể mới. Mydoom.S còn thay đổi file host của máy nạn nhân để ngăn không cho người sử dụng và các ứng dụng kết nối tới những website cung cấp phần mềm bảo mật.
Các nhà quản trị hệ thống được khuyến cáo nên phong tỏa đường dẫn tới địa chỉ www.richcolour.com, một trong những nguồn mà Mydoom.S tải các thành phần đi kèm của nó. Đây là địa chỉ bị lợi dụng chứ không có liên quan gì đến nhóm tin tặc.
Phan Khương