Особую опасность представляет вариант Net-Worm.Win32.Mytob.c. На протяжении последних трех недель он лидирует по показателям активности, занимая около 30% всего вирусного трафика в электронной почте. В настоящее время черви семейства Mytob представлены в рейтинге двадцати наиболее распространенных вредоносных программ «Лаборатории Касперского» 5-6 вариантами, что свидетельствует о стремительном распространении эпидемии.

Червь Mytob представляет собой модификацию исходного кода печально знаменитого почтового червя Mydoom.a. Таким образом, Mytob заражает компьютеры под управлением Windows и распространяется через уязвимость в службе безопасности Windows – LSASS, а также через электронную почту в виде вложений в электронные письма. После запуска червь копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. Он сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты, за исключением адресов, принадлежащих крупным разработчикам антивирусного и прочих видов программного обеспечения.

Параллельно червь запускает процедуры выбора IP-адресов для атаки и отсылает запрос на порт TCP 445 компьютеров-жертв. В случае, если удаленный компьютер отвечает на соединение, червь, используя уязвимость LSASS, запускает на удаленной машине свой код. Помимо процедур самораспространения, значительную опасность представляет содержащаяся в червях семейства Mytob bot-компонента. Она позволяет злоумышленнику управлять зараженным компьютером через IRC-каналы и получать полный доступ к хранящейся в нем информации.