Finaldo ist ein Massen-Mailer, Virus und Netzwerk-Wurm. Er breitet sich sehr schnell in einem System aus, indem er EXE, OCX und SCR-Dateien infiziert. Die Infektion von ASP, HTM und HTML-Dateien, die im Programm vorgesehen ist, wird durch einen Programmfehler verhindert. Die Attachment-Datei hat eine chinesische Flagge als Icon.

Das Schadprogramm in Finaldo, das durch den E-Mail-Austausch verbreitet wird, ist polymorph (vielschichtig) aufgebaut. In der Datei FINALDOOM.DLL verbirgt sich das eigentlich Schadprogramm mit dem Virus-Wurm-Code. Dieser Programmcode ist lediglich mit UPX gepackt und nichtpolymorph. Die Datei hat versteckte Datei-Attribute und findet sich üblicherweise im \Windows\Temp\ oder im \Temp\-Verzeichnis. Dann erstellt der Wurm die Datei FINALDOOM.EML, die er aussendet. Diese Datei ist eine vorformatierte vielteilige MIME-Nachricht mit dem Nachrichten-Text des Finaldo-Wurms. Bei der Ausbreitung des Wurms liest Finaldo die E-Mails von MAPI-kompatiblen E-Mail-Browsern und schickt sich selbst an die vorgefundenen Adressen. Anschließend löscht der Wurm die versendeten Nachrichten im Ordner "Ausgang".

Der Wurm benutzt den 'i-frame'-Trick, bei dem der Anhang der Mail mit der Endung '.EXE' automatisch durch Outlook, IE 5.0 oder 5.01 aktiviert werden kann, wenn die Sicherheits-Patches von Microsoft nicht eingespielt wurden:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Kurz nach der Aktivierung von Finaldo startet der Wurm die Routine, die für die Ausbreitung verantwortlich ist. Er sucht in erreichbaren Netzwerk-Resourcen nach Dateien mit der Endung *.OCX, *.EXE und *.SCR und infiziert sie. Der infizierte Teil wird an die Datei angehängt und ist polymorph mit verschiedenen Größen. Wird eine infizierte Datei ausgeführt, kommt es sofort oder wenig später zu einem Programmabbruch.

Finaldo sucht auch nach *.ASP, *.HTM und *.HTML-Dateien und hängt an diese ein kleines Java-Script an. Der Code ist fast identisch mit dem Code des Nimda-Wurms, aber diese Routine von Finaldo scheint nicht zu funktionieren. Ausserdem ist auch der Programmteil fehlerhaft, der die EML-Dateien auf dem entferneten und dem lokalen-System ablegen soll.

Finado beinhaltet folgenden Textstring:

Coded_by_CJH Finaldoom is coming! Don't worry... It's no harm to your system !
It's only a demo version
Made in china

[Analyse: F-Secure Corp.; 6.11.2001; Übersetzung F-PROT in Deutschland und @ntivirus-shop.com]