W32.Sahay.A@mm, eller PE_SAHAY.A, ble oppdaget 15. januar og er ett av få virus som angriper et annet virus. Vel, egentlig går både Sahay eller Yaha, som Sahay angriper, under betegnelsen e-postorm siden de spres av seg selv ved hjelp av e-post.
Sahay kommer inn på vertsmaskinen som et e-postvedlegg med navnet "mathmagic.scr", hvor meldingen har tittelen "Fw: Sit back and be surprised...". Ormen forsøker ifølge Trend Micro å knytte seg til alle .exe-filene i System-mappen i de Windows NT-baserte operativsystemene, samt i mappen C:\Program Files\Mirc\download.
Ormen sletter så Yaha-ormen, men på grunn av noe som trolig er en feil i programvaren, kan den få vertsmaskinen til å krasje. Noen ganger kan også de infiserte filene bli ødelagt.
Hvis Sahay finner Yaha-ormen på vertsmaskinen, viser den følgende melding:
Title: Exchange viruses?
Message: Hi there.. it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS,abused my website and got me toreceive the complaints. Therefore, I have just disinfected you.Don't worry tho.. as I didn't wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return :)
Greetz, Gigabyte [Metaphase VX Team]
Sahay sender deretter seg selv til alle kontaktene i adresseboken til Outlook.