Worm.Coronex是一个通过邮件附件进行传播的蠕虫病毒，长度约为12kb。该蠕虫没有利用任何系统漏洞，仅当用户点击附件并直接打开时蠕虫才得以执行并开始传播过程。

　　该病毒执行流程如下：

　　 首先将自身以文件名corona.exe拷贝至Windows目录下，并且在注册表登记启动项目，具体为：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　 登记键值名称为：PC-Config32

　　 键值数据为：%WinDir%\corona.exe

　　有趣的是，该蠕虫的登记过程存在bug，通常是登记注册表不能成功。但蠕虫已经得到运行，传播过程仍然可以正常工作。

　　该病毒还会将自身拷贝到 C:\My Downloads 目录下，增大获得传播的几率。

　　 病毒传播过程直接连接 ns.execulink.com作为SMTP服务器，蠕虫从Windows的地址簿中扫描获得下一步传染的目标地址。该病毒的传染子程序每当1分1秒的时候执行一次，也就是说一个钟头将会触发一次新一轮的传染过程。

　　 这是一个比较有趣的蠕虫，有些行为实在不是很像病毒，但主动传播本身就是标准的蠕虫行为。

　　 该蠕虫利用现在广大网民对sars关注度较高，恶意伪装自身为sars的预警邮件。或许作者是希望能够提醒更多的人注意SARS，但利用病毒进行传播这种做法毕竟不可取。而且可笑的是，邮件中甚至还有错别字。

　　病毒邮件通常具有如下的组合：

　　主题：SARS

　　发件人：sars@hotmail.com

　　正文：Severe Acute Respiratory Syndrome

　　附件名称： sars.exe

　　主题：I need your help

　　发件人：sars2@hotmail.com

　　正文：Severe Acute Respiratory Syndrome

　　附件名称： corona.exe

　　主题：Virus Alert!

　　发件人：corona@hotmail.com

　　正文：SARS Virus

　　附件名称： virus.exe

　　主题：Corona Virus

　　发件人：virus@yahoo.com

　　正文：honk kong

　　附件名称： hongkong.exe

　　主题：bye

　　发件人：deaths@china.com

　　正文：deaths virus

　　附件名称： deaths.exe

　　主题：SARS

　　发件人：virus@china.com

　　正文：SEE Ya

　　附件名称： sars2.exe

　　主题：SARS Virus

　　发件人：virus2@china.com

　　正文：SARS Corona Virus

　　附件名称： cv.exe

　　蠕虫拷贝自身到C:\My Downloads目录下的文件名称可能为如下列表，而且一旦完成拷贝过程，该蠕虫还会自主将文件长度增长到几M的大小，以达到更好的伪装作用，如果C:\My Downloads目录不存在，蠕虫就直接把自身拷贝在当前目录下：

　　 'Cossacks Full Version.exe'

　　'Battlefield 1942 (full).exe'

　　'Warcraft III Full.exe'

　　'Jedi Knight II.exe'

　　'Quake 3 Full Version.exe'

　　'Starcraft full.exe'

　　'Doom 3.exe'

　　'Tribes 2 (full).exe'

　　'Rainbow 6 Full.exe'

　　'Oni full.exe'

　　'White and Black.exe'

　　'Return to Castle Wolfenstien (Full).exe'

　　'Command & Conquer: Generals.exe'

　　'Black Hawk Down (full).exe'

　　'The Sims: Unleashed.exe'

　　'Age Of Mythology.exe'

　　'Dark Age of Camelot.exe'

　　'Ultima Online.exe'

　　'The Lord of the Rings.exe'

　　'Medel Of Honor: Allied Assault.exe'

　　'Grand Theft Auto 3 (full).exe'

　　'Unreal 2: The Awakening (full).exe'

　　'Unreal.exe'

　　'Master Of Orion 3.exe'

　　当病毒开始运行时，它会在屏幕上显示一个小小的MessageBox，如图：

　　

　　该蠕虫还会将IE的默认主页更改为世界卫生组织关于SARS的介绍页面： http://www.who.int/csr/don/2003_04_19/en