Con el incremento del intercambio de información por correo electrónico, a causa de la enorme creceiente demanda de los servicios de Internet, los desarrolladores de virus hallaron una nueva forma de difundir sus creaciones. 

Esta consiste en enviar un mensaje de correo con un archivo anexado o adjunto, que contiene el virus, el cual al ser abierto ejecuta su payload, con consecuencias de daño inmediato o mediato a los sistemas de los usuarios, que por motivos de curiosidad o descuido cometan el error de abrir estos archivos. 

Para enviar los virus en forma masiva, a través de la Libreta de Direcciones Windows, MS Outlook, Outlook Express o MS Exchange, estas especies virales toman control de las librerías MAPI (Messaging Application Programming Interface) que son un conjunto de funciones "C" estándar, definidas en código DLL (Dynamic Link Library). Estas funciones fueron originalmente creadas por Microsoft para Microsoft Mail, pero han recibido agregados y mejoras por parte de terceros: MAPI.DLL y MAPI32DLL.

Las librerías MAPI están disponibles para los desarrolladores de la mayoría de lenguajes Visual. De allí proviene la facilidad para la creación de virus que afectan o toman control de estas librerías para el re-envío de mensajes. 

Para que los virus contenidos en archivos anexados se difundan con mayores posibilidades, también pueden infectar la librería WSOCK32.DLL, que intercepta las funciones de MS Windows y que son las establecen las conexiones de red, incluyendo las funciones de Internet. Las especies virales de que usan esta librería tienen mayor capacidad de causar estragos, ya que afectarán a casi todas las funciones y/o servicios de Internet: HTTP, IRC, FTP, TelNet, etc.

Con el objeto de despertar la curiosidad innata del ser humano, los autores de esta modalidad de propagación de virus emplean argumentos en el cuerpo del mensaje, tales como: "Buenas nuevas", "Gane dinero", "Te adjunto una información muy interesante que te va a convenir", incluyen supuestos archivos gráficos anexados atractivos, de índole sexual, pornográficos, etc.

Los virus pueden estar contenidos en documentos .DOC, archivos comprimidos en formato .ZIP, ejecutables .EXE, en controles ActiveX de archivos HTML, Visual Basic Scripts, archivos con extensión .SHS, .HTA, .PIF, etc. o en archivos con doble extensión, por lo general una de ellas con atributo "oculto" (hidden). 

Si estos virus contienen instrucciones de auto-enviarse a la Libreta de Direcciones del software de correo del usuario, haciendo uso de las librerías MAPI su propagación tendrá un efecto multiplicador, que además de los daños contenidos en su payload, saturarán muchos de los servidores de los Proveedores de Servicios de Internet (ISP).  

Muchos gusanos emplean sus propias rutinas SMTP (Simple Mail Transfer Protocol) y MIME (Multipurpose Internet Mail Extension) para auto-enviarse a todos los buzones de correo de la Libreta de Direcciones de Windows, así como a las direcciones encontradas en el directorio de Archivos Temporales de Internet, con extensiones HTM, HTML, etc. También pueden usar el SMTP instalado por defecto en los sistemas.

Otros gusanos aprovecha la vulnerabilidad del MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo MS Outlook y Outlook Express, vale decir, infecta con apenas visualizar el mensaje sin necesidad de ejecutar ningún archivo.

La vulnerabilidad del protocolo MIME exploit consiste, en el caso que MS Outlook esté configurado con la opción de "Mostar panel de vista previa" activada, será suficiente visualizar el mensaje, sin necesidad de ejecutar el archivo anexado, para infectar el sistema:

Para evitar este tipo de infecciones se debe deshabilitar la opción "Mostar panel de vista previa":

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Por eso es recomendable jamás ejecutar un archivo anexado de un mensaje de correo no solicitado o de dudosa o desconocida procedencia, mucho menos si tiene doble extensión y se debe proceder a eliminarlo así como también el mensaje de origen. Asimismo se deben borrar todos los archivos en las carpetas temporales.

PER ANTIVIRUS®  posee una exclusiva tecnología, de Protección E-mail, la cual intercepta "en tiempo real" los mensajes de correo electrónico en MS Exchange Server, MS Outlook, Outlook Express, Pegasus Mail, Eudora Mail, IncrediMail, Lotus Domino Server, SendMail (Linux), desinfectándolos, así como a sus archivos anexados, antes de que el usuario los abra o lea.