A megfertőzött gépekre az ártó szándékú hackerek titokban trójai vagy billentésnaplózó programokat telepíthetnek fel, vagy csupán böngésznek a gép fájljaiban, és megnehezítik a Mydoom utáni takarítást. A hétfőn felbukkant Mydoom még mindig erősen terjed, és semmi jelt nem mutatja a lelassulásnak, mondja Craig Schmugar, a NAI McAfee divíziójának kutatási igazgatója, aki tud olyan nagyvállalati ügyfelükről, aki szerdán egyetlen óra alatt 160 ezer fertőzött e-mailt kapott.
A víruskutatók közben felfigyeltek egy új trendre: több ezer számítógép keres az interneten a féreg által megnyitott TCP kapukat (a 3127-es és 3198-as kapuk közötti tartományban). E kapukra csak rá kell a támadóknak csatlakozniuk, és kémszoftvereket vagy más ártó programokat tudnak a gépre tölteni. A Symantec szerdán 2100 egyedi rendszert számolt össze, amelyek ilyen kapukat kerestek. A NAI 2500-ra teszi e rendszerek számát, és 7500-ra a célba vett rendszerekét, mióta a kutatók kedden felfigyeltek erre a viselkedésre.
A Mydoom eltávolítása becsukja a hátsó ajtót, és ezzel megszűnik a veszély is, de ha már sikerült a rendszerbe bejutnia egy hackernek, ez megnehezíti a takarítást, mert bár az antivírus programok ismerik a leggyakoribb trójai és billentésnaplózó programokat, nem észlelik mindet. Természetesen a nyitott portokat a rendszeradminisztrátorok is keresik.
Ennél nagyobb veszélyt jelent az internetes közösségre az a sok százezer elfertőzött gép, amely immár a Mydoom szerzőjének rendelkezésére áll, mert egy ilyen nagy zombihálózattal már spamekkel és vírusokkal lehet elárasztani a világhálót.
Egyébként már megjelent a Mydoom-B variáns is, amely blokkolja az antivírus webhelyek elérését. A Mydoom-B nem különbözik lényegesen az első változattól, csak mérete nagyobb, és a kódjába ágyazva egy üzenetet is találtak („Bocs, csak a munkámat végzem, semmi személyes nincs a dologban”). Az F-Secure „2-es szintű” minősítést adott variánsnak, mivel nagy számú fertőzést okozott, de még nem okozott világméretű járványt. A Mydoom-B már nemcsak az SCO ellen készül február 1-én DoS támadásra, hanem a Microsoft ellen is, és a fertőzött gépeken blokkolja az antivírus webhelyek elérését.
