O vírus W32/Yaha-C@MM, que começou a circular no dia 10 de maio, é categorizado como sendo de mass-mailing. O objetivo é criar uma quantidade enorme de e-mails para congestionar os servidores de mensagens e lotar as caixas de e-mail dos internautas, causando transtorno para todo mundo.
Confira abaixo as características das mensagens que chegam com o Yaha-C:
Título: possui centenas de variações.
Texto da mensagem:
Hi Dear
Check the Attachement..
See u
[nome do remetente]
----- Original Message -----
From: "Friendship" friendshipscr@screensaverforu.com
To: [nome do remetente]
Sent: Friday, May 11, 2002 8:38 PM
Subject: humour iendship to ur friends
This e-mail is never sent unsolicited. If you need to unsubscribe, follow the instructions at the bottom of the message.
********************************
Enjoy this friendship Screen Saver and Check ur friends circle...
Send this screensaver from www.screensaverforu.com to everyone you consider a FRIEND, even if it means sending it back to the person who sent it to you. If it comes back to you, then you'll know you have a circle of friends.
* To remove yourself from this mailing list, point your browser to:
http://screensaverforu.com/remove?freescreensaver
* Enter your email address (Sender's address) in the field provided and click "Unsubscribe".
OR...
* Reply to this message with the word "REMOVE" in the subject line.
This message was sent to address Recipient's address
X-PMG-Recipient: Recipient's address
<<<>>> <<<>>> <<<>>> <<<>>>
Arquivo em anexo: também varia sempre, mas a extensão final dos arquivos pode ser ".pif", ".bat" ou ".scr".
O texto diz para o destinatário executar o anexo e dá a entender que o arquivo é um protetor de tela de um site chamado Screensaverforu.com. Só que esse site não existe. O usuário que acredita na mensagem e executa o arquivo instala o Yaha-C.
Primeiro o vírus se copia para a pasta C:\Recycler usando o mesmo nome do anexo do e-mail em que chega. Essa pasta é usada pela "Lixeira" do Windows. Depois, cria a seguinte chave no registro do sistema:
HKEY_LOCAL_MACHINE\Software\Classes\
Exefile\shell\open\command
c:\recycled\[nome do arquivo]
Com essa chave, o vírus passa a ser iniciado junto com o Windows. Assim, toda vez que o computador é ligado ele procura endereços de e-mail em arquivos. Todos esses endereços e os contatos do Outlook receberão a mensagem com o vírus.
Durante todo o processo de infecção, a frase "Ur My Best Friend!!" é exibida como sendo um protetor de tela.
Todas as empresas de antivírus já forneceram atualizações que barram o novo vírus. Para saber mais detalhes sobre o Yaha-C, visite a página da McAfee.