Walentynkowy robak

Yaha jest „robakiem” internetowym, którego działanie polega na rozsyłaniu własnych kopii za pomocą poczty elektronicznej. Najczęściej „szkodnik” trafia do komputera ofiary jako plik valentin.scr dołączony do listu elektronicznego zatytułowanego Melt the Heart of your Valentine with this beautiful Screen saver.

Po otwarciu załącznika „robak” tworzy swą kopię w pliku c:\Recycled\msmdm, a następnie szuka przyszłych odbiorców w książce adresowej systemu Windows oraz plików tymczasowych Internet Explorera. Lista potencjalnych ofiar zapisywana jest w plikach c:\Windows\www.dll oraz c:\Windows\screen.dll. Ponadto Rejestr Windows jest modyfikowany w taki sposób, aby „insekt” był uruchamiany wraz z każdą aplikacją o rozszerzeniu EXE. Wartość klucza
„HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command” zamieniana jest z ” %1 %*” na c:\Recycled\msmdm” %1 %*”.

Na koniec Yaha rozsyła swe kopie na zebrane wcześniej adresy, korzystając z ustawień pierwszego konta programu Outlook Express. Jeśli nie zostało ono skonfigurowane, wirus wykorzystuje jeden z kilkudziesięciu serwerów „zastępczych”.
MKS