Das Mail-Kommando ruft eine SMTP-Komponente auf, die sich eines vorgefertigten Headers bedient. Der E-Mail-Vorspann findet sich im disassemblierten Code:

.data:00437C70 SMTP_Component_SMTP_Header db 'helo $rndnick',0Ah.data:00437C70 ; DATA XREF: sub_412044+9084_o.data:00437C70 db 'mail from: ',0Ah.data:00437C70 db 'rcpt to: ',0Ah.data:00437C70 db 'data',0Ah.data:00437C70 db 'subject: %s',0Ah.data:00437C70 db 'from: %s',0Ah.data:00437C70 db '%s',0Ah.data:00437C70 db '.',0Ah,0.data:00437CBC SMTP_Component_Email_sent db '[EMAIL]: Message sent to %s.',0

Die SMTP-Komponente lässt sich sowohl für den Versand von Spam als auch zur Verbreitung des Wurms verwenden Hier einige signifikante Stellen aus der SMTP-Komponente:

.text:0041B03E lea eax, [ebp+var_4054].text:0041B044 push eax.text:0041B045 push [ebp+var_4058].text:0041B04B call WSAStartup.text:0041B051 lea eax, [ebp+var_3DC4].text:0041B057 push eax.text:0041B058 call gethostbyname.text:0041B05E mov [ebp+var_39C4], eax.text:0041B064 push 6.text:0041B066 push 1.text:0041B068 push 2.text:0041B06A call socket.text:0041B070 mov [ebp+var_4060], eax.text:0041B076 mov word ptr [ebp+var_4070], 2.text:0041B07F mov eax, [ebp+var_39C4].text:0041B085 mov eax, [eax+0Ch].text:0041B088 mov eax, [eax].text:0041B08A mov eax, [eax].text:0041B08C mov [ebp+var_406C], eax.text:0041B092 push [ebp+var_4074].text:0041B098 call htons.text:0041B09E mov word ptr [ebp+var_4070+2], ax.text:0041B0A5 lea eax, [ebp+var_3AC4].text:0041B0AB push eax.text:0041B0AC lea eax, [ebp+var_3CC4].text:0041B0B2 push eax.text:0041B0B3 lea eax, [ebp+var_3AC4].text:0041B0B9 push eax.text:0041B0BA lea eax, [ebp+var_3BC4].text:0041B0C0 push eax.text:0041B0C1 lea eax, [ebp+var_3CC4].text:0041B0C7 push eax.text:0041B0C8 push offset SMTP_Component_SMTP_Header ; "helo$rndnick

mail from:

rcpt to: "...