Der elektronische Schädling funktioniert nach dem Sircam-Prinzip, das heißt, er verfügt über ein als Screensaver getarntes Attachment, bei dessen Aktivierung der Wurm weiterverschickt wird und nach Angaben des Antivirensoftware-Herstellers Bitdefender zudem die Site http://www.pak.gov.pk mit Anfragen flutet. Gefährdet sind vor allem Anwender, die die automatische Vorschaufunktion in Microsofts Mail-System "Outlook" aktiviert haben. Der schädliche Prozess kann aber auch durch Anklicken des Attachments in Gang gesetzt werden.

Die vom Wurm gesendete Mail variiert sehr stark. Der Text beginnt aber entweder mit: "Hi - Check the Attachment... - See u", "Attached one Gift for u...", "wOW CHECK THIS" oder etwas Ähnlichem. Der Rest der Botschaft ähnelt einer weitergeleiteten E-Mail.

Die Adressen, an die sich der Schädling verschickt, entnimmt er nicht nur dem Outlook- oder anderen Mail-Verzeichnissen. Er bedient sich darüber hinaus auch der Informationen von Instant-Messaging-Applikationen wie "MSN Messenger", "Yahoo Messenger" oder "ICQ". Außerdem stöbert er im Cache des Browsers.

Eingriffe in Registry

Der Wurm erstellt ferner eine Kopie von sich im Papierkorb-Ordner mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen. Deren Pfad wird zum Registrierungseintrag "HKLM\exefile\shell\open\command\default" hinzugefügt. Im Windows-Ordner werden zwei Dateien erstellt, und zwar je eine .DLL- und .TXT-Datei mit dem Namen der Wurmkopie. W32/Yaha-E versucht, eventuell vorhandene Sicherheits- oder Antivirensoftware zu deaktivieren. (ave)