Другой червь притворяется электронной почты с Paypal на службу онлайновых платежей и которая пытается украсть информацию о кредитной карте. Это очень похоже на Win32: Mimail-I.

Инфицированные письма приходят с адреса электронной почты Do_Not_Reply@paypal.com и обладают следующими характеристиками:
Заглавие: ВАЖНО
Текст сообщения:
Уважаемые члены PayPal,

Мы с сожалением сообщаем Вам, что Ваше внимание вот-вот будет истек в ближайшие пять рабочих дней. Чтобы избежать приостановления вашего счета, Вам необходимо возобновить его Предоставляя нам Вашу личную информацию.

Чтобы пополнить свой личный профиль и продолжать пользоваться услугами PayPal нужно запустите приложение прилагаемый к этой электронной почте. Просто запустите его и следуйте инструкциями.

ВАЖНО! Если проигнорировать это предупреждение, ваш аккаунт будет приостановлен в следующем пять рабочих дней, и вы не сможете использовать PayPal больше.

Благодарим вас за использование PayPal.

Вложенный файл: www.paypal.com.pif

При запуске червя, он отображает диалоговое окно, запрашивающее ввод спектр информации о вашей кредитной карте. Это включает в себя полный номер вашей кредитной карты, пин-код, срок годности, и даже так называемый CVV-код (это дополнительный трехзначный защитный код, напечатанный на обратной стороне карты, которые не зарегистрированы машины кредитных карт во время операции ) В нем также запрашивает дополнительную личную информацию, такую как ваш номер социального обеспечения и девичья фамилия вашей матери. Диалог включает PayPal логотипа в дальнейшем попытка видимость законности. Сведения, внесенные в форму разослал по электронной почте с нескольких адресов электронной почты хранится в теле червя.

Worm отправить само по электронной почте на адреса найти на жестком диске. Он сохраняет все адреса электронной почты внутри файла с именем ee98af.tmp в папке Windows.

Он копирует себя в файл svchost32.exe в каталоге Windows и добавляет следующую запись реестра в реестре:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ SvcHost32

Удаление:
Чтобы удалить этот вирус Пожалуйста, воспользуйтесь бесплатно Avast! Virus Cleaner.

Avast! с VPS файла от года или после 18 ноября 2003 года в состоянии обнаружить этот червь.