«Yama» надеется на авось

Yama — интернет-червь, представляющий из себя программу на языке JavaScript и распространяющийся в электронных письмах с помощью MS Outlook и Outlook Express.
Для своего распространения червь использует «дыру» в системе защиты Internet Explorer 5 под названием «Scriptlet.Typelib vulnerability», а также требует некоторого вмешательства (скорее невнимательности) пользователя. В дополнение к JavaScript червь использует также VBS-скрипт, поэтому работоспособен только в операционных системах с установленным Windows Scripting Host (WSH — в Windows98, Windows2000 он установлен по умолчанию). При активизации на инфицированном компьютере червь скрытно изменяет стартовую страницу Internet Explorer на страницу web-сайта Geocities, которая в свою очередь содержит внедренный вирусный JavaScript.

Вирус создает ярлык в меню Start и модифицирует ситемный реестр, записывая в него ключ:

HKLMSOFTWAREMicrosoftWindowsCurrentVersion
Runyama=yama.hta

В результате червь загружается при каждом последующем старте Windows.

Червь устанавливает в Outlook/Outlook Express в виде подписи по умолчанию один из следующих файлов, которые содержат URL зараженного сайта, при клике на который внедренный скрипт автоматически выполняется:

yamalauncher.htm
yamalauncher.txt
yamalauncher.rtf

Скрипт также создает на зараженной машине файл C:WINDOWSALAN.HTML и регистрирует его как «обои» Рабочего Стола (Desktop wallpaper).