Yaha.D es un gusano con un gran espectro de medios de propagación masiva, ya que con su propio servidor integrado SMTP (Simple Mail Transfer Protocol), se auto-envía a través de los buzones de correo de Outlook Express, MSN Messenger, Yahoo Messenger, la Libreta de Direcciones de ICQ, las carpeta temporales o Cache de Internet y la carpeta del Historial de Internet Explorer.

Es un PE (Portable Ejecutable) e infecta los sistemas operativos operativos Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. Este gusano de 25 KB (cuya extensión puede variar) tiene una programación muy sofisticada e interesante, ya que para su envío, tanto el Asunto, Contenido y el archivo anexado del mensaje, mediante el cual se propaga, son el resultado de la combinación aleatoria de cualquiera de los nombres y frases contenidas dentro su código:

Remitente:

Usa cualquier nombre rescatado del sistema.

Asunto:

Es elegido en forma aleatoria de cualquiera de estas palabras o frases:

searching for true Love
you care ur friend
Who is ur Best Friend
make ur friend happy
True Love
Dont wait for long time
Free Screen saver
Friendship Screen saver
Looking for Friendship
Need a friend?
Find a good friend
Best Friends
I am For u
Life for enjoyment
Nothink to worry
Ur My Best Friend
Say 'I Like You'
To ur friend
Easy Way to revel ur love
Wowwwwwwwwwww check it
Send This to everybody u like
Enjoy Romantic life
Let's Dance and forget pains
war Againest Loneliness
How sweet this Screen saver
Let's Laugh
One Way to Love
Learn How To Love
Are you looking for Love
love speaks from the heart
Enjoy friendship
Shake it baby
Shake ur friends
One Hackers Love
Origin of Friendship
The world of lovers
The world of Friendship
Check ur friends Circle
Friendship
How are you
U r the person?
Hi
U realy Want this
Romantic
humour
New
Wonderfool
Excite
Cool
Charming
Idiot
Nice
Bullshit
One
Funny
Great
Love
Gangs
Shaking
Powful
Joke
Interesting
Interesting
Screensaver
Friendship
Love
Relations
stuff

Cuerpos del mensaje:

1.

Hi Dear Check the attach See u

2.

Check the attachment too..

3.

Hi Dear Check the Attachement .. See u [dirección del remitente]

Archivo anexado:

screensaver
screensaver4u
screensaver4u
screensaverforu
freescreensaver
love
lovers
lovescr
loverscreensaver
loversgang
loveshore
love4u
lovers
enjoylove
sharelove
shareit
checkfriends
urfriend
friendscircle
friendship
friends
friendscr
friends
friends4u
friendship4u
friendshipbird
friendshipforu
friendsworld
werfriends
passion
bullshitscr
shakeit
shakescr
shakinglove shakingfriendship
passionup
rishtha
greetings
lovegreetings
friendsgreetings
friendsearch
lovefinder
truefriends
truelovers
fucker

El virus deshabilitará los siguientes antivirus, Firewalls o sistemas de Seguridad:

ZONEALARM
AVP32
LOCKDOWN2000
AVP.EXE
CFINET32
CFINET
ICMON
SAFEWEB
WEBSCANX
ANTIVIR
MCAFEE
NORTON
NVC95
FP-WIN
IOMON98
PCCWIN98
F-PROT95
F-STOPW
PVIEW95
NAVWNT
NAVRUNR
NAVLU32
NAVAPSVC
NISUM
SYMPROXYSVC
RESCUE32
NISSERV
ATRACK
IAMAPP
LUCOMSERVER
LUALL
NMAIN
NAVW32
NAVAPW32
VSSTAT
VSHWIN32
AVSYNMGR
AVCONSOL
WEBTRAP
POP3TRAP
PCCMAIN
PCCIOMON
Al hacer clic en el archivo infectado, el gusano se copia a la carpeta C:Recycled y crea una llave de registro para ejecutarse previamente a la invocación de cualquier archivo .EXE:

[HKCRexefileshellopencommand] (Por defecto) = "C:Recycled%%%%.exe "%1" %*"

Los símbolos "%%%%" representan al nombre elegido en forma aleatoria, con la extensión .EXE (con atributo de oculto) y "%1" %*" a la segunda extensión, también aleatoria.

El gusano busca la vulnerabilidad denominada Iframe exploit, en el caso de que el usuario no haya actualizado su sistema, aplicables a:

Microsoft Internet Explorer 5 para Windows 98
Microsoft Internet Explorer 5 para Windows 95
Microsoft Internet Explorer 5 para Windows NT 4.0
(Vulnerabilidad corregida en Internet Explorer 6)
De no estar actualizado, el gusano verificará si fue ejecutado desde la carpeta C:Recycled, de lo contrario mostrará en pantalla algunos gráficos animados que aparentan ser Salvador de Pantallas (screensavers), de letras de diversos colores con cualquiera de los siguientes textos:

U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend

Yaha.D no tiene un payload destructivo, pero su alto grado de propagación puede saturar servidores de Correo y LAN, pudiendo ocasionar una negación de Servicio DoS (Denial of Service).

Reproducido de Inicio.com