Mydoom

Remitente: [dirección_disfrazada@dominio_de_la_víctima] La dirección disfrazada puede ser elegida de los siguientes nombres:

ÄzµÚD1Lò”sD’],Íè0,ÑgpT‚•£ÏÞ3csÐæ†Ý
-†/„qÐTÏì´Ü‹jÝ¦n<*¸Šu%Èz
lü1_á"s]sÍ±fš2Kë_ãËI^D,fSyõ\SÜ¥tÒ61©Ð é#LÛnÜ–Æ¶<¦Ó¯úz3~tÐ˜
cÒ3ûÔÝ7(æ7‘ú[Èe¶î&
Àïô¶²]?ôôÚß¤!T}Ã›LU¶>gtÈ¨ók¤»^ÎÜž´g¹D<ÕË¶,òù±älœ
GaÌÍÌACÞ»¿±|ŠÖÕMÌ®n;»“—½”îÂî§%£ß_xE!1®X…Vê£Ù‘úgDÚÄjÐ$Ù.rm¡vfºŠîª¹ƒ¢âƒî«üç?©qmß‚XL×çk?ì{ÏFŒâOp
â}ÚÑÔûP]2ƒ¡QäµÍšüõ“#½rÖŽQR1ŸøŽ‚šgl6² lätúL‰k'ý‰_I?\Ž¯©.lÌŸ¤vŸ
B”¡h·:ÁÄ
Í2ÝçË#Ï:#äH¿&oMuhÛéGÕ#FÅºAÂbé
ÑnfD‘âËÎÓ`‚-0›ú»ÓMÎÅˆù©1vX‡«ô
Ÿºü?EQ9Bw×¼zgýÅ®ÔŒ–
|„Å3Ë%ï¿ÜPéAqÄxdyã°eÁy$>·M6-Cl>
xR“³IX*ž/Vz|3:‘qyBÉšf(¾"–ç©1^ýx†Ç_KIJFò¦±82…ÔŸO±:®d)áÑ&ÆOYF[IÊcfË…N%ú2ÑkûÊp•U?%wJ÷¥óƒ¨Ö:×¦Ü,\:}éìÅ7-åqµ¦ÛÜÆS¨¥`%7F]Vø8YÜ³£Þ!/mÈ
6oãñq4°iåAg¥ŸÖ.?ZX—3üR* aÖ¦‡’ïæùU´å´…ÔsÇXôÛ«dD¨¯dÁMh´öd1Gxok5ª%IedÝK"a%‘±[J$»)Š¨íá‘àŽÉ>}öPÇYOGj ÑË±XüŠ! õÝ,ëNŽr[
<“¢‹Ù¾S˜P³¶iÒÀ‚’ŒaG ‡óNûPìTl—Lnöo%”õ¹»Ë¦_ýÕXš$X<`ñÓ)6&eVôM,%Ü¦Ó?†s]Æ T±ði}Ä·_qn*°Ï9Áß93„®n6/Êr?¾!wÆßd òuM;³ç‰°£{Òî†Œt¼ÊwàTuç'Z4Kpå†Asû þ'õ:Ð
ÛnKâŠŒŒ67íUÚêY×Á’\:#¹™(•ÝkeA»;
¡#Õ[æ—Ó-ùŸBfŒÅt%¶û.[ÃuBV_ù1–K|ñW˜y˜e«¿wqX -ó xòåé/úêE2SVÜ‡.•p” ŒÜdìêFÓP’{q–ÑPŽÐÂMï
÷Ýº°ƒ˜O¡÷nŠs‰K×¨ëî”ÜÓŒù®û¡v%êdíi¾ƒ†/ñEícÂ—SP³‡ë*Ç6ƒR3™ØÚB¬bÈëÈ´pšx¾G—

Anexado, mayormente es un archivo en formato ZIP, aunque puede tener otras extensiones:

En forma aleatoria el archivo puede tener 2 extensiones con espacios intermedios. El icono que representa al archivo anexado simula ser un archivo de texto:

Al ejecutar el anexado, el gusano se auto-copia a la carpeta %System% como taskmon.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al mismo tiempo libera en la carpeta %System% el archivo Shimgapi.dll, el cual se insertará al Explorer.exe en el siguiente re-inicio, con la siguiente llave generada: