Im Internet ist ein neuer, heimtückischer Computer-Wurm im Umlauf. Verbreitet wird er nach Angaben des Karlsruher Experten für Computerviren, Fischer, per E-Mail. Diese werden als Post des elektronischen Zahlungssystems „PayPal“ von dem Internet-Auktionshaus eBay deklariert. ie bereits Mimail.I versucht auch der neue Unhold, auf recht perfide Weise Kreditkartendaten zu sammeln, indem sich nach Öffnen des Wurmanhangs ein vermeintliches PayPal-Fenster öffnet und der Schädling zur Eingabe von Kreditkartendaten auffordert. Nach Eingabe und Bestätigung der Daten fragt der Wurm in einem weiteren Fenster zudem Adressdaten samt E-Mail-Adresse, Telefonnummer sowie weitere persönliche Daten wie Namen, Geburtsdatum und Ähnliches ab.
Die Betreffzeile der Wurm-E-Mail trägt den Titel „IMPORTANT“, der Absender lautet Do_Not_Reply@paypal.com und auch der Nachrichtentext ist immer identisch und fordert den Empfänger mit englischem Text auf, seine Kreditkartendaten anzugeben. Der eigentliche Wurm-Code steckt wie üblich im Dateianhang, der entweder „InfoUpdate.exe“ oder „www.paypal.com.pif“ heißt und manuell gestartet werden muss, um sich damit zu infizieren.
Die über das PayPal-Dialogfenster gesammelten Daten legt der Wurm in der Datei C:ppinfo.sys ab und versucht diese anschließend an folgende im Wurm abgelegte E-Mail-Adressen zu versenden: kaspersky@mail15.com, ekaspersky@mail15.com sowie admin@kaspersky.cjb.net.
Zur Verbreitung durchsucht der Wurm den Browser-Cache vom Internet Explorer nach gültigen E-Mail-Adressen und versendet sich an diese. Nach Aktivierung trägt sich der Unhold zudem so in die Registry ein, dass der Wurm bei jedem Rechnerstart geladen wird.