Wirus Zindos

Jest to robak rozprzestrzeniający się przez internet przy użyciu komputerów zainfekowanych szkodnikiem I-Worm.Mydoom.m. Infekuje systemy za pośrednictwem backdoora instalowanego przez Mydooma.m. Rozmiar robaka to około 5 760 bajtów (kompresja UPX). Szkodnik wyposażony jest w procedurę przeprowadzającą atak DoS na witrynę www.microsoft.com.

Po uruchomieniu robak kopiuje się do tymczasowego folderu systemowego Windows z losową nazwą i tworzy w rejestrze systemowym klucz auto-run:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

"Tray"=nazwa pliku robaka

Szkodnik generuje losowo adres IP o podejmuje próbę nawiązania połączenia za pośrednictwem portu TCP 1034 (jest on otwierany przez robaka Mydoom.m). Po udanym nawiązaniu połączenia szkodnik umieszcza na atakowanym komputerze własną kopię i kontynuuje rozprzestrzenianie.

Robak wysyła wiele żądań URLDownloadToCacheFile pod adres www.microsoft.com.