En ny variant af Mydoom spreder sig langsomt. De fleste antivirus firmaer er enige om at ormen adskiller sig fundamentalt fra Mydoom og har derfor valgt at kalde den DoomJuice.
Der er dog ingen tvivl om at DoomJuice eller Mydoom-C er skrevet af samme person/personer som stod bag Mydoom A og B.
Den nye variant syntes at signalere enden på Mydoom familien. Der er flere grund til at konkludere dette. Forfatteren har bl.a. valgt at inkludere selve kildekoden til Mydoom-A i den nye variant. Kildekoden kopieres til allerede inficerede systemer sammen med den nye variant af ormen. Samtidig er W32.Mydoom-C.worm (DoomJuice) udelukkende netværksbaseret. Det vil sige, at den ikke længe spreder sig via e-mail eller KaZaa, men udelukkende til inficerede Mydoom værter.
W32.Mydoom-C.worm søger efter systemer, som allerede er blevet inficeret af Mydoom-A og B. Når et system er fundet, hvor bagdøren er aktiv, kopieres den automatisk til harddisken og afvikler sig selv. Den forbliver resident i hukommelsen som processen "intrenat.exe".
Ormen kopierer sig selv til et system, som intrenat.exe og gemmes i windows systemmappen. Den binære fil har en størrelse på 36,864 bytes.
Den nye variant i Mydoom familien adskiller sig markant fra tidligere udgaver. Den nye udgave gør ikke længere brug af ROT13 kryptering af UPX headeren, hvilket formentligt er undladt i det den ikke længere skal distribueres via e-mail eller P2P netværket KaZaa. Af uransagelige årsager har forfatteren valgt at distribuere den komplette kildekode til W32.Mydoom-A.worm. Kildekoden kopieres til inficerede systemer sammen med W32.Mydoom-C.worm.
Når ormen har kopieret sig selv automatisk, til et allerede inficeret system, vil den afvikles og via en mutex "sync-Z-mtx_133" sikre, at der ikke allerede kører en kopi af koden i hukommelsen.
Den modificerer dernæst registreringsdatabasen med følgende runas værdi: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Gremlin=[%systemmappen%]\intrenat.exe
Dette for at sikre, at ormen aktiveres ved en genstart af systemet. W32.Mydoom-C.worm vil herefter igangsætte scanning mod andre systemer hvor den kan sprede sig til. Det sker ved at scanne tilfældige IP adresser på TCP port 3127.
Denne variant er tilsyneladende blevet sendt i omløb hen over weekenden og har sandsynligvis allerede opnået en rimelig effektiv spredning. Det vurderes, at truslen er største for private brugere, som allerede er inficeret af Mydoom-A, eller Mydoom-B og som sådan ikke er beskyttet af et opdateret antivirus program. Den primære payload i W32.Mydoom-C.worm, er at igangsætte det DDoS angreb mod
www.microsoft.com som blev forsøgt i B-varianten og som fejlede grundet mangelfuld spredning. Det er muligt, at denne variant vil have mere "held" med at forvolde skade mod
www.microsoft.com end forgængeren. Payloaden har ingen udløbsdato og igangsættes med det samme. Angrebet vil dog forværres efter den 12. Februar 2004, hvor payloaden starter et stort antal tråde mod
www.microsoft.com og uden indbygget forsinkelse.
Denne trussel kan fjernes ved at foretage en ctrl+alt+delete og afslutte jobbet: "intrenat.exe". Dernæst bør man manuelt slette filen fra windows systemmappen og genstarte systemet.
Da W32.Mydoom-C.worm opnår adgang til systemer via en bagdør efterladt af Mydoom varianterne anbefales det, at inficerede systemer installerer og vedligeholder et antivirus produkt.
Krusesecurity/CSIS anbefaler, at ISP´ere lukker for indgående trafik til TCP port 3127. Privat personer kan opnå samme effekt ved at installere en personlig firewall.
Bemærk, at der allerede er flere former for ondsindet kode i omløb, som drager nytte af den bagdør som er installeret af W32.Mydoom-A og B.