Вторая нитка (наиболее ваажная) рассылает с зараженного компьютера электронные письма, в которые вложена копия червя. Для это червь использует установленную электронную почту, поддерживаающую стандартный протокол (Messaging Application Program Interface) - MS Outlook, MS Outlook Express, и т.д. При поможи MAPI червь активизирует установленного в системе почтового клиента, пытаясь подсоединиться к нему четырьмя различными способами (профайлами MAPI): default, Microsoft Outlook, Microsoft Outlook Internet Settings, Microsoft Exchange.
После подсоединения в E-mail червь постоянно следит за почтовым ящиком, проверяет входящие сообщения и "отвечает" на них. Письмо-ответ имеет тот-же Subject, что и оригинальное письмо, тело письма-ответа содержит текст:
Hi [имя адресата] I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs.
(Я получил письмо и отвечу на него при первой возможности. Пока же взгляните на вложенный ZIP-архив с документацией)
Сообщение заканчивается одной из двух возможных вариантов подписи (в зависимости от того, удалось ли червю определить имя пользователя):
bye. sincerely [имя пользователя]
Копия червя вкладывается в письма в виде файла "Zipped_Files.Exe".
Червь не отвечает на письма дважды и не отвечает на свои собственные письма. Для этого он детектирует такие письма по символу табуляции, которые он добавляет к уже "отвеченным" и отсылаемым зараженным письмам. Червь также проверяет статус письма и отвечает только на непрочитанные письма. Здесь следует отметить, что оба этих условия (не отвечать на письмо дважды, и отвечать только на непрочитанные письма) опциональны в процедуре рассылки писем и передаются в нее в виде параметров. В существующей версии червя они установлены в положения, запрещающие повторную рассылку, однако их значения могут быть легко изменены, что может привести к массовой рассылке зараженных писем и переполнению почтовых баз данных и лимитов траффика локального Интернет-провайдера.
В результате процедура рассылки зараженных писем выглядит следующим образом. При первом старте червь сканирует ящик входящих сообщений и отвечает на все непрочитанные, помечая их при этом символом табуляции и более не обращает на них внимания. Затем червь постоянно проверяет этот ящик и, как только в нем оказывается новое сообщение, немедленно создает "ответ" с приведенным выше текстом, и отправляет его по указанному в письме адресу отправителя.