Сам Yarner искусно маскируется под официальное сообщение популярного немецкого веб-сайта "Trojaner-Info", посвященного проблемам антивирусной безопасности, и распространяется по электронной почте в виде вложенных файлов. Зараженные письма содержат текст и заголовок на немецком языке.

Если пользователь имел неосторожность запустить вложенный файл Yawsetup.exe в отсутствие активной антивирусной программы, то червь инициирует процедуры заражения компьютера и дальнейшего распространения.

Прежде всего, Yarner создает в каталоге Windows дополнительный файл со случайным именем (до 100 символов) и регистрирует его в секции автозапуска системного реестра Windows. Таким образом, червь активизируется после каждой перезагрузки операционной системы. Для рассылки по электронной почте Yarner получает доступ к адресной книге MS Outlook, а также сканирует содержимое файлов форматов .PHP, .HTM, .SHTM, .CGI, .PL в каталоге Windows и считывает оттуда адреса электронной почты. Эти данные записываются в файлы Kernel32.daa и Kernel32.das. После этого червь соединяется с удаленным SMTP-сервером и через него осуществляет рассылку своих копий.

Yarner также имеет исключительно опасную деструктивную функцию. С вероятностью 10% после рассылки писем червь уничтожает все данные на зараженном компьютере.

"Trojaner-Info, якобы от имени которого рассылаются зараженные письма, является популярным немецким ресурсом по проблемам антивирусной безопасности и не имеет никакого отношения к настоящей эпидемии. Данный случай лишь еще раз подтверждает, что e-mail-адрес и текст письма можно легко фальсифицировать и при помощи этой уловки подсунуть пользователю вредоносную программу, - заявил Евгений Касперский, руководитель антивирусных исследований компании. - В этой связи "Лаборатория Касперского" еще раз рекомендует пользователям быть предельно осторожными к вложенным файлам, даже если они приходят, якобы, от имени разработчиков антивирусных программ".