11月14日，江民国内率先截获一名为I-Worm/Paylap蠕虫的病毒，蠕虫在运行时，会显示一个网页，提示用户输入信用卡的若干信息。然后蠕虫就会把这些盗窃的信息用email的方式发送出去。

江民反病毒专家介绍，该网页文件名为c:\pp.hta，用户输入的信息保存在c:\ppinfo.sys。一旦成功盗取了用户资料，蠕虫将同时做下面3件事情：

1．把搜集的数据发给下面的email信箱：
a) nakayamo@centrum.cz
b) cccash@centrum.cz
c) mystics@mail15.com
d) need4cc@mail15.com

2．在用户缓存的Internet文件中提取email地址，作为下一步传播的目的地。为了提高提取效率，蠕虫将直接忽略下列文件格式：
a) com COM可执行文件
b) wav 音频文件
c) cab 微软CAB压缩包
d) pdf Acrobat文档
e) rar RAR压缩包
f) zip ZIP压缩包
g) tif TIF图像文件
h) psd Photoshop文件
i) ocx ActiveX组件
j) vxd vxd驱动
k) mp3 mp3音频文件
l) mpg mpg视频文件
m) avi avi视频文件
n) dll 动态连接库
o) exe EXE可执行文件
p) gif GIF图像文件
q) jpg JPG图像文件
r) bmp BMP图像文件

3．向所有找到的Email地址发送蠕虫邮件，附件就是蠕虫本身，名称为paypal.asp.scr或www.paypal.com.scr，大小12832字节。信件的正文内容如下：
Subject: YOUR PAYPAL.COM ACCOUNT EXPIRES
Attachment: paypal.asp.scr or www.paypal.com.scr
Message:

Dear PayPal member,

PayPal would like to inform you about some important information regarding
your PayPal account. This account, which is associated with the email address

<用户Email地址>

will be expiring within five business days. We apologize for any
inconvenience that this may cause, but this is occurring because all of our
customers are required to update their account settings with their personal
information.

We are taking these actions because we are implementing a new security
policy on our website to insure everyone's absolute privacy. To avoid any
interruption in PayPal services then you will need to run the application
that we have sent with this email (see attachment) and follow the
instructions. Please do not send your personal information through email,
as it will not be as secure.

IMPORTANT! If you do not update your information with our secure application
within the next five business days then we will be forced to deactivate your
account and you will not be able to use your PayPal account any longer. It
is strongly recommended that you take a few minutes out of your busy day and
complete this now.

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This mail is sent by an automated
message system and the reply will not be received.

Thank you for using PayPal.

大意如下，
“亲爱的PayPal客户：
PayPal在此通知您一些关于您的PayPal帐号的重要信息。您的帐号（已和下面的Email地址绑定）<用户的Email地址>将于5个工作日之后过期。我们对此带来的不便向您道歉。这次变动是因为我们要求所有用户都要在帐号设置中加入个人信息。

我们正在网站上实现一个新的安全策略，用以确保每个人隐私的绝对安全。为了避免中断PayPal服务，请运行附件中程序，并按照程序的指示操作。请不要通过电子邮件发送您的个人信息，那样太不安全。

重要提示：如果您不更新帐号的话，5个工作日以后，我们将不得不终止您的PayPal帐号。在此强烈建议您现在就抽出宝贵的几分钟时间，做完更新工作。 不要通过电子邮件回复这封信。这封邮件是由自动消息系统寄出的，您的回复不会被接收。

感谢您使用PayPal。”

蠕虫还将自身复制为Windows目录的svchost32.exe，并添加注册表项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run\SvcHost32，使其可以在Windows系统启动时可以自动运行。

江民反病毒专家敬告用户，如果您收到了上述的蠕虫邮件，千万不要打开运行附件程序。立即升级江民杀毒软件KV系列到11月14日病毒库，即可有效防杀该蠕虫。