Sinds gisteren zijn er twee nieuwe MyDoom varianten ontdekt die behoorlijk verschillen van andere MyDooms. MyDoom.AG en MyDoom.AH verspreiden zich net als de rest van de familie via e-mail. Ze bevatten echter geen bijlages, maar een link naar een website. De link verwijst naar een website die draait op de geinfecteerde machine die de e-mail verstuurd heeft. De worm doet dit door op elke geinfecteerde machine een kleine webserver op port 1639 te installeren. Deze techniek lijkt een beetje op de manier waarop de Blaster worm zich verspreidt. In plaats van een centrale download server wordt elk besmette PC tot server omgetoverd.

Wat nog veel interessanter is, is dat de webpagina waarnaar gelinkt wordt, het pas ontdekte kritiek IFRAME lek in Internet Explorer gebruikt om de computer te infecteren. Voor Windows 2000 en Windows XP met Service Pack 1 is er voor dit lek GEEN PATCH beschikbaar. XP gebruikers die Service Pack 2 geinstalleerd hebben zijn niet kwetsbaar.

De worm gebruikt onder andere de onderstaande tekst:

Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is 866DEC0A, and your item will be shipped within three business days.

To see details please click this link

(F-Secure)