Platform        : Windows
Boyutu          : 20,992 Byte - UPX ile sıkıştırılmış
Diğer isimleri : W32/Yaha@mm, YAHA.A

Açıklama:

Bu worm epostada "valentin.scr" isimli ek dosya ile olarak geliyor. Çalıştırıldığında "msmdm.exe" ve "msscra.exe" isimleriyle kendisinin
kopyalarını "recycle bin" içine (c:\recycled) kopyalıyor. Sonra her .EXE dosya çalıştırıldığında kendisininde çalışması için registry'ye aşağıdaki değişikliği yapıyor:
HKEY_CLASSES_ROOT\exefile\shell\open\ command, (Default) = ““c:\recycled\msmdm”%1 %*”

Bu solucan aşağıdaki registry anahtarından kullanıcının adres defterindeki eposta adreslerini topluyor:

HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name

SMTP sunucusu, gönderen adresi ve gönderenin ismini aşağıdaki registry anahtarından alıyor:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET ACCOUNT_MANAGER\ACCOUNTS\00000001

Eğer bu anahtarda varsayılan SNMTP suncusu tanımlanmamışsa kendisinde bulunan listedeki sunuculara bağlanmayı deniyor.Ve kendisini eposta ile aşağıdaki gibi gönderiyor:

Konu: Fw: Melt the Heart of your Valentine with this beautiful Screen saver
Mesajın Gövdesi:
Hi
Check this screen saver
Happy Valentines day
See u
Ek dosya: valentin.scr

Korunma:
1."Start" menüsünden "Run"a girip regedit yazın ve enter'a basın.
2. Registry Editor penceresi açıldığında sol panelde:
   HKEY_CLASSES_ROOT > exefile > shell > open > command anahtarına çift tıklayın ve sağ panelde "default" a çift tıklayın.
3.Diyalogda görülen değeri silin ve yerine “%1”%*” yazın. Bilgisayarınızı "restart" edin.
4. Sisteminizi bir antivirüs programı ile taratın ve WORM_YAHA.A olarak bulunan dosyaları silin.
  ( Antivirüs programı olmayanlar Trend Micro`nun ücretsiz online virüs tarama hizmetinden yararlanabilirler:  http://antivirus.olympos.org http://housecall.antivirus.com)

Ref:
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_YAHA.A
http://vil.mcafee.com/dispVirus.asp?virus_k=99362&