Comme d'habitude, le virus arrive sous forme de mail. L'objet comporte différentes accroches : test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status Error.

Le corps du message contient : "Test", "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment". Ou encore "The message contains Unicode characters and has been sent as a binary attachment". "Mail transaction failed". "Partial message is available".

Les pièces jointes sont "document", "readme", "doc", "text", "file", "data", "test", "message", "body" avec les extensions : pif, scr, exe, cmd, bat.

Il s'installe sur le système sous le nom de 'taskmon.exe'. Une fois la machine infectée le ver active Windows Notepad et installe une porte-dérobée "backdoor" en créant un fichier SHIMGAPI.DLL sur le système 32 de Windows. Il l'exécute ensuite à travers un process de IEPLORE.EXE.

Ce ver a une vocation politique. Il est programmé pour conduire une attaque par Déni de Service sur le site Internet de l'éditeur SCO. Mydoom tente de contourner les outils ant-spam en remplaçant les "@" par des "at".

Après le 1er Février, Mydoom s'activera à chaque boot de la machine et tentera d'ouvrir la page de l'éditeur de solutions UNIX, SCO www.sco.com et tentera de s'y connecter chaque seconde à partie de chaque machine infectée à travers le monde. Le requête, très simple "GET / HTTP/1.1", est programmée pour surcharger le serveur web de SCO.

Comme Bagle et autres Sobig il est programmé pour s'auto-détruire le 12 Février.