PandaLabs предупреждават за появата на четири нови варианта (S, U, V и W) на червея Mytob в рамките само на няколко часа. Всички тези варианти имат характеристики на троянски коне, които оставят отворена "задна врата" в системата, така че да могат да получават команди. Този процес се извършва директно, но когато се използват сървъри, те извикват 19.xxor.biz (в случаите на варианти S, U и W) и irc.blackcarder.net, когато червеят е Mytob.V. Това позволява техните създатели да получат контрол над всеки компютър, заразен от някой от вариантите на Mytob.
Една от най-големите опасности на този червей е неговата възможност да модифицира системните "hosts" файлове. Прави това, за да не позволи на потребителите да се свързват с уеб страници на антивирусни производители. Поради извършването на тази модификация, заразените потребители не получават обновявания на вирусните дефиниции, които са необходими за да се неутрализира този злонамерен код.

Червеят използва три различни начина за своето разпространение:

- Експлоатиране на познатата LSASS уязвимост, публикувана и фиксирана от Microsoft в MS04-011 бюлетин, достъпен на http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx

- Чрез споделени ресурси, защитени със слаби пароли, т.е. такива, които лесно могат да бъдат отгатнати.

- По email. Изпращането на съобщения, с прикачени файлове, съдържащи кода Mytob, с някои от следните разширения: .bat, .exe, .pif, .scr или .zip. Прикаченият файл може да бъде наречен с някое от следните имена Data, Doc, Document, File, Readme, Text или Body, а е възможно да има и друго име.

Изпраща се на адреси, които открива на заразената система във файлове с .adb,.asp, .dbx, .htm, .php, .pl, .sht и .tbb разширения и в адресната книга на Windows. Използваните разширения обикновено зависят от конкретния вариант на Mytob. Тъй като се превръща в обща практика разпространението на злонамерен код по email, адресът на подателя е измислен, за да не може много бързо заразените компютри да бъдат открити.

Mytob не се изпраща на определени email адреси, (включително и на такива, които съдръжат думата “panda”), в опит да удължи времето, необходимо за откриването му.

За да не позволи едновременното стартиране на повече от едно копие в системата, създава различен mutex, които се различава според специфичната версия на Mytob. S версията създава mutex “ggmutexk2”, U вариантът създава “ggmutexk1”, V версия “H-E-L-L-B-O-T-2-BY-DIABLO”, а W варианта създава mutex, наречен “H-E-L-L-B-O-T”.

Напоследък се превръща в тенденция, авторът или авторите на тези червеи да се опитват да разпространяват възможно по-голям брой злонамерен код, така че да се увеличава възможността да се заразяват повече компютри. Този път, тъй като това са червеи, които позволяват отдалечен контрол над заразените компютри, е очевидно, че тяхната цел е да се създаде мрежа от компютри, която да може бъде контролирана. Това ще позволи на атакуващия да предприеме различни злонамарени действия, от инсталирането на друг злонамерен код, като keylogger или spyware, до създаването на ‘зомбита’ за разпращане на спам.