A Yahmali trójai legfőbb veszélye, hogy a Yahoo! Messenger szoftverhez, illetve az azon keresztül elérhető szolgáltatásokhoz tartozó felhasználóneveket és jelszavakat próbálja megszerezni.
A Yahmali trójai elsődleges feladata, hogy a Yahoo népszerű azonnali üzenetküldő szolgáltatásának igénybevételekor megadott felhasználónevet, illetve jelszót összegyűjtse. A trójai ennek érdekében folyamatosan figyeli a felhasználó tevékenységét, és amikor azt érzékeli, hogy elindult a Yahoo! Messenger, akkor azonnal aktivizálódik. Amennyiben sikerül megszereznie a belépési adatokat, akkor azokat egy távoli szerverre felmásolja az Interneten keresztül.
Amikor a Yahmali trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Temp%\services.exe
%Temp%\LSASS.EXE
%Temp%\SMSS.EXE
%Temp%\CSRSS.EXE
%Temp%\WINLOGON.EXE
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”shell” = “explorer.exe “C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[ORIGINAL TROJAN FILENAME].exe [véletlenszerű karakterek]”
3. A regisztrációs adatbázisba módosítja a következő kulcsokat:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
4. Várakozik arra, hogy a felhasználó belépjen a Yahoo! Messenger programba, majd megpróbálja megszerezni a beírt felhasználónevet és jelszót. Ha sikerül, akkor a bizalmas adatokat elküldi egy távoli szerver felé.