Hãng an ninh mạng iDefense cho biết khi lọt vào trong, nó tạo ra một bản sao trong thư mục Windows System dưới dạng “intrenat.exe” và một vài file ở nhiều thư mục Windows khác. Giống như Mydoom-B, SyncZ sẽ sử dụng những máy tính đã mang virus để thực hiện một cuộc tấn công từ chối dịch vụ vào website của Microsoft, cản trở việc cung cấp các chương trình nâng cấp và tư vấn. Tuy nhiên, có vẻ như phiên bản này không tìm cách tự e-mail sang những máy tính khác hoặc phát tán qua mạng chia sẻ file nhạc Kazaa.
Mydoom-C còn sửa chữa một số yếu kém ở phiên bản gốc, trong đó có các lỗi ở mã. Chính khiếm khuyết này đã hạn chế rất nhiều máy tính nhiễm Mydoom-A tham gia cuộc tấn công từ chối dịch vụ vào website của SCO. Một thay đổi nữa trong biến thể mới là thời hạn mà các máy nhiễm Mydoom gốc ngừng tấn công DoS (12/2) đã bị loại bỏ.
Thay vì đặt một file để mở cổng sau trên máy nạn nhân, virus mới phát tán một archive nén mã của Mydoom-A. Tuy nhiên, tác giả của Mydoom-C đã bỏ đi rất nhiều tính năng nguy hiểm nhất của phiên bản đầu, trong đó có công cụ SMTP dùng để phát tán e-mail mang virus.
Nếu được kích hoạt trong khoảng từ 8/2 đến 12/2, các PC nhiễm Mydoom-C sẽ tung ra một cuộc tấn công DoS bất kỳ lúc nào vào Microsoft.com. Còn những máy tính khởi động sau ngày 12/2 sẽ tiếp tục duy trì mật độ tấn công. Phân tích mã virus, các chuyên gia phát hiện thấy một địa chỉ IP được link tới trang chủ của tập đoàn ôtô Ford (www.ford.com). Chưa biết liệu đây có phải là một mục tiêu tấn công mới hay không.
Ken Dunham, Giám đốc iDefense, cho rằng virus mới khó có thể gây ảnh hưởng nhiều đến mạng của các doanh nghiệp lớn ở Mỹ vì tất cả đã phòng vệ thành công đợt tấn công trước. Tuy nhiên, các hộ gia đình, doanh nghiệp nhỏ và máy tính ở các nước khác vẫn có nguy cơ lây nhiễm cao. Có vẻ như tác giả phiên bản A đã “rửa tay gác kiếm” và đây là tác phẩm của một kẻ khác.
Phan Khương (theo ComputerWorld, InfoWorld)