I na koniec roku o jeszcze jednym wormie w sieci. Robak o nazwie Shoho (lub Welyah), rozprzestrzeniający się za pomocą własnego motoru pocztowego (a nie przez klienta Microsoft Outlook, jak to czyni wiele innych robaków), może usuwać pliki z dysków twardych zaatakowanego komputera.

Worm wykorzystuje także nieszczelność przeglądarki Internet Explorer podobnie jak robak Badtrans, który pojawił się na początku 2001 r. Nieszczelność ta pozwala Shoho uaktywnić się nawet wtedy, gdy zainfekowana poczta jest tylko otwierana lub przeglądana - niekoniecznie trzeba otworzyć załącznik podwójnym kliknięciem.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Nowy robak jest zagrożeniem także dla tych użytkowników , którzy nie posługują się klientem poczty Outlook. Shoho jest dostarczany w przesyłce zawierającej w wierszu Temat tekst: "Welcome to Yahoo! Mail", który jest powtarzany również w treści przesyłki. Do przesyłki jest dołączony załącznik o nazwie Readme.txt. Według firmy Trend Micro jest to plik .PIF - pomiędzy ciągiem znaków ".TXT" a ".PIF" zawarte jest 125 spacji. Z kolei NAI twierdzi, iż jest to plik typu .EXE.

Po uruchomieniu załącznika lub otwarciu przesyłki robak podejmuje próbę wysłania siebie pod adresy zawarte w książce pocztowej Outlooka, używając do tego własnego motoru SMTP a nie Outlooka. NAI twierdzi także, że robak przeszukuje dyski twarde, poszukując adresów pocztowych, które następnie umieszcza w pliku EmailInfo.txt. Z chwilą uaktywnienia, worm próbuje również dodać kilkanaście plików i tyleż samo usunąć z dysku twardego.