Los virus en archivos anexados (adjuntos, attached) no son una técnica de programación, es una nueva modalidad de propagación a través de Internet, por medio de los software de Correo Electrónico, así como los de Chat. Consiste en enviar mensajes con un archivo anexado, el cual al ser abierto ejecuta el virus con consecuencias de daño a los sistemas de los usuarios, que por curiosidad los ejecuten.

La modalidad de Remailers o "envíos masivos" es empleada bajo varias técnicas:

1. AUTO ENVIÓ DE MENSAJES EN MS Outlook o MS Exchange

Tanto MS Outlook o MS Exchange, emplean la interfaz de las librerías MAPI (Messaging Application Programming Interface), que es un sub-sistema de Mensajería compuesto por un conjunto de funciones "C" estándar, definidas en código DLL (Dynamic Link Library). Estas funciones fueron originalmente creadas por Microsoft para Microsoft Mail, pero han recibido agregados y mejoras por parte de terceros. Las librerías son de 16 y 32 bits:

MAPI.DLL para Windows 3.x, Windows for Groups (16 bits)

MAPI32DLL para Windows 95/98/Millennium/NT/2000 (32 bits)

Las librerías MAPI están disponibles para los desarrolladores de la mayoría de lenguajes Visual. De allí proviene su facilidad para la creación de virus que afectan o toman control de estas librerías para el re-envío de mensajes. 

Al tomar control de cualquiera de las funciones de la interfaz MAPI, una aplicación de Windows se convierte en el estado de "mail-enabled" (habilitado para correo). Esta librería está también disponible para los desarrolladores de Visual Basic, por medio de una capacidad de traducción básica de Basic a C. Debido a ello muchos Visual Basic Scripts fácilmente pueden emplear los recursos de estas funciones. 

La funciones básicas de MAPI son:

• MAPIAddress
• MAPIDeleteMail
• MAPIDetails
• MAPIFindNext
• MAPIFreeBuffer
• MAPILogon
• MAPILogoff
• MAPIReadMail
• MAPIResolveName
• MAPISaveMail
• MAPISendDocuments
• MAPISendMail

2. AUTO ENVÍO DE MENSAJES EN CUALQUIER OTRO SOFTWARE DE CORREO DE INTERNET

Para que los virus contenidos en archivos anexados se difundan con mayores posibilidades, también pueden infectar la librería WSOCK32.DLL, que intercepta las funciones de MS Windows que establecen las conexiones de red, incluyendo las funciones de Internet. Las especies virales de que usan esta librería tienen mayor capacidad de causar estragos.

El WSOCK32.DLL es el conjunto de librerías estándar que proporcionan una poderosa Interfaz de Programación de Aplicaciones (API) para crear programas bajo el protocolo TCP/IP (Transmission Control Protocol/Internet Protocol) para conexiones a Internet o dentro de una red local.  

Los virus en archivos anexados que infectan la librería WSOCK32.DLL pueden afectar a cualquiera de los servicios de Internet, tales como Correo Electrónico, (Email), FTP (File Transfer Protocol), servidores web, etc., o en las estaciones y el servidor de una red local.

Los virus que hacen uso de las funciones de estos dos tipos de librerías, contienen instrucciones de auto-envío a la Libreta de Direcciones del software de correo del usuario, logrando que su propagación tenga un efecto multiplicador.  

Es muy recomendable que cuando se reciba un mensaje con un archivo anexado, de origen desconocido se evite abrir el archivo y se proceda a eliminarlo, así como también el mensaje de origen. También se deben borrar todos los archivos en la carpeta Windows/Temp.

3. AUTO ENVÍO DE MENSAJES VÍA SU PROPIO SMTP o EL INSTALADO POR DEFECTO

Muchos virus contienen en su código viral su propio servidor  SMTP (Simple Mail Transfer Protocol), así como también pueden emplear el SMTP instalado por defecto en el sistema infectado y haciendo uso de estos servicios se auto-envían masivamente a todas los buzones de correo de las Libretas de Direcciones Windows, MS Outlook, Outlook Express, MS Exchange o de las extraídas de archivos de diversas extensiones, incluso los de las carpetas temporales.

4. AUTO ENVÍO DE MENSAJES VÍA EL IRC (Internet Chat Relay)

Los software de Chat emplean unos archivos de control, al igual que los archivos con extensión .INI de los sistemas operativos Windows de 32 bits. 

Uno de los aplicativos más populares para comunicación en Línea iba Chat es el mIRC, el cual tiene unos archivos de control de funciones bajo formato Script y con extensión .INI los mismos que pueden ser afectados por los virus. Bajo ciertas técnicas de programación los desarrolladores de virus pueden crear archivos con esta extensión o reemplazar a los originales. 

El SCRIPT.INI es un archivo del software mIRC, capaz de afectar a éste y a cualquiera de los programas basados en las canales del IRC (Internet Chat Relay). Contiene comandos que permitirían a otras personas controlar en forma remota las sesiones de IRC de un usuario infectado, observar las conversaciones que éste mantiene y otras acciones adicionales, tales como terminar o cancelar una conversación o sesión de Chat.

Este script, al encontrarse infectado, se puede reproducir auto-enviándose a través de una transferencia DCC (Direct Control Command) y al hacerlo, toma ventaja de dos funcionalidades potencialmente peligrosas del mIRC: la configuración de recepción automática DCC (auto-DCC-get) y la ejecución automática de cualquier archivo llamado SCRIPT.INI que se encuentre en el directorio de instalación de la aplicación.

El SCRIPT.INI puede realizar, entre otras cosas, lo siguiente:

• Re-direccionar todos los mensajes enviados por el usuario, en forma abierta o privada a otro canal.

• Interrumpir la sesión de IRC cuando otra persona ejecute un comando determinado, 

• Permitir el acceso total al sistema del usuario afectado, a través de algún tipo de aplicación como el fserve, al enviar remotamente cualquier comando predefinido,

• Bloquear o alterar mensajes procedentes del o de los sistemas infectados.

• Enviarse en forma automática a otros usuarios.

PER ANTIVIRUS®  posee una exclusiva tecnología, de Protección E-mail, la cual intercepta los mensajes de correo electrónico en MS-Exchange Server, MS Outlook, Outlook Express, Pegasus Mail, Eudora, Netscape Messenger y Lotus Domino Server, detectando los virus, si los hubiere, en archivos anexados, antes de que el usuario los abra o lea. 

Asimismo, detecta y elimina los virus y/o archivos infectados enviados por cualquier canal de Chat o por Mensajería Instantánea, de los servicios MSN Messenger, Netscape Messenger, Yahoo Messenger, etc.