Bien entendu lorsque la victime clique sur ce lien, le navigateur par défaut est lancé et redirigé vers un fichier exécutable. Une nouvelle fois ce dernier tente de se faire passer pour une image mais l'utilisateur avancé remarquera l'extension .exe. Une fois installé sur la machine, le ver se divise et s'ajoute à la liste verte du pare-feu de Windows. Par la suite il désactive le gestionnaire de mises à jour Windows Updates. Le malware s'infiltre également au sein de la base de registre et modifie la clé ci-dessous afin de pouvoir être activé à chaque démarrage de l'ordinateur.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\“Firewall Administrating” = “%WinDir%\infocard.exe”
Finalement, le malware, identifié par les experts sous le nom de W32.Yimfoca, analyse la liste des contacts de Yahoo! Messenger et continue de se reproduire. Vous trouverez ici les informations nécessaires en cas d'infection.
