I-Worm.Palyh aka I-Worm.Sobig.b aka Mankx

　　蠕虫是Windows应用程序(PE EXE文件)，用Microsoft Visual C++写成，然后用UPX打包压缩，根据各种条件，病毒的大小为50k（UPX）或者更大，传播文件尺寸大约110K或者更大。

　　仅仅在用户自己激活程序的情况下，病毒才会激活。在激活时，病毒就安装到系统中，并开始传播过程。

　　蠕虫自身有些错误，在某些系统配置中，导致蠕虫只有部分功能或者完全不能运转。

　　安装

　　在安装时，蠕虫用“msccn32.exe”把自己复制到硬盘Windows目录下，并在注册表中的自动运行项中写下：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run

　　System Tray = %WindowsDir%\msccn32.exe

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　System Tray = %WindowsDir%\msccn32.exe

　　在某些情况下（由于自身错误），蠕虫把自己复制到“不正确的”目录下（根目录，当前目录），但电脑重新启动后，蠕虫的传播过程一样被激活。

　　信件传播

　　蠕虫在本地硬盘所有可以访问的目录中寻找"*.TXT", "*.EML", "*.HTML", "*.HTM", "*.DBX", "*.WAB"文件，把其中含有电子邮件地址取出来，给这些地址发送感染信息。在传播时，直接连接到smtp服务器（系统指定的）。

　　有下列情况的标题，正文和附件名

　　from:

　　support@microsoft.com

　　标题：

　　Re: My application

　　Re: Movie

　　Cool screensaver

　　Screensaver

　　Re: My details

　　Your password

　　Re: Approved (Ref: 3394-65467)

　　Approved (Ref: 38446-263)

　　Your details

　　正文：

　　All information is in the attached file.

　　附件：

　　your_details.pif

　　ref-394755.pif

　　approved.pif

　　password.pif

　　doc_details.pif

　　screen_temp.pif

　　screen_doc.pif

　　movie28.pif

　　application.pif

　　.

　　蠕虫在windows目录中建立文件“hnks.ini”，把收集到的电子邮件地址记录到里面。

　　在网络中传播

　　蠕虫还在网络中其他可以访问的资源中作用，如果下边这样的目录，就自己复制到自动运行目录中

　　Windows\All Users\Start Menu\Programs\StartUp\

　　Documents and Settings\All Users\Start Menu\Programs\Startup\

　　下载补充文件

　　蠕虫从4个web地址（它们记录在蠕虫代码中）下载文件，并运行它们。这样，蠕虫就可以更新自己或者在系统中安装木马程序。

　　其他

　　蠕虫仅在当前被感染计算机的日期小于2003年5月31日时才完全工作。以后，仅仅是下载补充文件。