Win32.HLLM.Yaha.4

Для своей активации червь может использовать известную уязвимость в системе безопасности Microsoft Internet Explorer, которая позволяет автоматически запускаться вложенному в письмо приложению только при просмотре такого письма. Более позробную информацию об этой бреши и способам ее устранения можно найти по этому адресу: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

После получения управления червь начинает рассылать сам себя. Тема сообщений («Subject») иногда начинается с букв Fw:. Текст сообщений состоит из случайного набора слов и фраз, например:

make ur friend happy
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worryy
Easy Way to revel ur love
Enjoy Romantic life
Let's Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let's Laugh

Текст писем начинается со строк «Hi Check the Attachment ..See u» или «Attached one Gift for u..» и содержит следующие строки:

"This e-mail is never sent unsolicited. If you need to unsubscribe,
follow the instructions at the bottom of the message.
***********************************************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from (некий web-адрес) to everyone you
consider a FRIEND, even if it means sending it back to the person
who sent it to you. If it comes back to you, then you'll know you
have a circle of friends.
* To remove yourself from this mailing list, point your browser to:
(АДРЕС)
* Enter your email address (адрес отправителя сообщения) in the
field provided and click "Unsubscribe".

* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address (адрес отправителя)
X-PMG-Recipient: (адрес отправителя)"

dailyreport
mountan
goldfish
Freescreensaver
friendscircle
friendship
friends
friendscr
friends
friendsgreetings
friendsearch
friends4u
friendship4u
friendshipbird
love
lovers
lovescr
loverscreensaver

Для сохренения своей активности в системе червь помещает свою копию в папку «RECYCLE BIN» корневого диска и регистрирует ее в системе в ключе реестра HKEY_CLASSES_ROOT\Exefile\Shell\Open\Command\default. Таким образом червь будет получать управление при запуске каждого исполняемого файла. В корневом каталоге Windows червь создает файл со случайным именем и расширением DLL. В этом файле он хранит список обнаруженных на компьютере адресов электронной почты. Кроме того, он создает файл с расширением TXT, в который записывает следующий текст:

iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS
& fUCk tHE GFORCE-pAK
shites bY sNAkeeYes,c0Bra

При первом запуске червь имитирует работу «хранителя экрана». В процессе работы он пытается блокировать работу некоторых вирусов и ряда антивирусных программ.

Почтовый червь Win32.HLLM.Yaha.64000 известен также под названиями W32.Yaha.D@mm, W32/Yaha.g@MM, W32.Yaha.F@mm, W32/Lentin.E, W32/Yaha-E, Worm/Lentin.F, WORM_YAHA.E, Yaha.E, I-Worm.Lentin.g, W32/Yaha.g@MM, I-worm/Yaha.D, W32.Yaha.F@mm, Win32/Yaha.E, Win32/Lentin.F@mm, Win32/Yaha.E.Worm, Yaha.E@mm.