病毒作者再一次使用SARS话题。不久前的Coronex病毒把Internet Explorer的主页更换成世界卫生组织的SARS专业。

　　新的蠕虫“Melare”到处传播信件：

　　标题：Alert! SARS Is being Spread!

　　正文：Hi!, This is a beta test SARS. Please check an attachment!

　　在正文的开始段，可能会出现 jpg-附件”图标。

　　蠕虫“Melare”是Windows应用程序（PE EXE文件），大约6K左右（使用UPX打包，原始文件15K左右），用Visual Basic 写成的。仅当用户自行执行文件时，病毒才会被激活。事实上，真正的EXE文件名通过JPG文件名来伪造隐藏，这样，有毒的EXE文件在信中看起来是JPG文件了，但在打开时，MS Ooutlook却是以EXE文件的形式来执行它的。在MS Outlook 97 SP2和以后的版本中，按照默认值，类似附件已经自动被封住了。此后，病毒安装到系统中。它把自己用“csrss.EXE”名复制到Windows系统目录中，并在注册表中写下：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run

　　SystemSARS32 = %WindowsDir%\csrss.EXE

　　在发送信件时，病毒自动与MS Outlook连起来，向地址薄所有的地址发送被感染的信件。

　　每月的1, 4, 8, 12, 16, 20, 24 和 28号，病毒“Melare”删除当前目录中的*.DLL, *.NLS, *.OCX（通常为Windows目录）。