Ormen som antivirusleverandørene har døpt "Yarner", "Worm/Yarner" eller "W32/YAWsetup" snakker tysk. Den smittende e-posten bærer tittelen "Trojaner-Info Newsletter Body: Hallo !". Selve meldingen begynner slik:
Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:
1. YAW 2.0 - Unser Dialerwarner in neuer Version
Trojaner-Info.de er en populær tjeneste, og YAW er et utbredt antivirus.
Men e-posten stammer ikke fra Trojaner-Info.de, og vedlegget yawsetup.exe har bare navnet felles med antivirusverktøyet. Den opphavelige e-postadressen er forfalsket. I stedet for å utløse en oppdateringsprosess, innleder vedlegget en smitteprosess. I kjent stil sørger ormen for å installere seg selv slik at den aktiviseres hver gang PC-en skrus på.
Så henter den inn e-postadresser fra adresseboka til Microsoft Outlook og andre kilder i Windows-katalogen. Til slutt etablerer den en forbindelse til en SMTP-server og sender seg selv ut til alle offerets e-postkontakter.
Ormen kan være svært ødeleggende. Kaspersky Lab og F-Secure opplyser at den i ett av ti tilfeller ødelegger all data og annen informasjon på offerets PC.
