表现特征
被感染用户发送出的邮件中包含一个扩展名为 .PIF 的附件；某些邮件的客户端将会完全的阻止该邮件，并标记该扩展名为"危险"。

　
在被感染的系统中，病毒可能会在驱动器 C,D,E,以及 F 等的根目录创建一下文件 -

rd2_roberto.pif
simbolic3.pif
extasis8.pif
sin_mas_menos.pif
inzae.pif
ph003.pif

　
如果病毒正在运行，则可能会显示一系列的西班牙文字对话框，第一个包含以下文字 -

Wolas
Pulse aceptar para seguir
[OK]

　
当关闭以上的对话框之后，病毒将会在屏幕上显示一个不包含退出工具栏和取消按钮的全屏对话框。该对话框显示信息如下 -

Pulse CONTROL + 0 + 8 + N + 6 PARA PASAR VER LAS TOTOS SIGUIENTES






  
攻击分析
该病毒是32-bit病毒，打包后的大小为 49,331 字节。病毒通过自带的 SMTP 引擎发送自己。他还可能会拷贝自己到其他驱动器并删除某些特定文件。

当病毒被执行，将会显示一系列的西班牙文对话框。同时，病毒会在后台将自己系统的 system32 目录下并开始搜索系统中的 email 地址。每当发现一个地址，病毒就会通过自身的 SMTP 引擎将自己发送出去。

病毒会在 system32 目录下写入一下文件 -

Inzax.exe (5,565 bytes)
system32\sw.exe (8,776 bytes)
sx.exe (9,681 bytes)
sz.exe (7,343 bytes)
svchosl.pif (49,331 bytes)

病毒会将自己注册到 Windows 启动组中，使自己跟随系统启动 -

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Svchost" = C:\WINNT\system32\svchosl.pif

　
垃圾邮件发送

病毒会从系统中查找 email 地址，然后编辑一个 email 消息一边发送给每个地址。邮件文本为西班牙文，但是有一个很明显的线索，"发信人"的西班牙文并不太流利。

　

文件删除列表

病毒将会查找硬盘中的文件，并将检查其扩展名，一旦符合要求则删除该文件，扩展名列表如下 -

asm
asp
bdsproj
bmp
cpp
cs
csproj
css
doc
dpr
frm
gif
htm
html
iso
jpeg
jpg
mdb
mp3
nfm
nrg
pas
pcx
pdf
php
ppt
rar
rc
rc2
reg
resx
rpt
sln
txt
vb
vbp
vbproj
wav
xls

　

杂项

病毒中包含以下信息，但不会显示 -

-Worm by cUk- : -name Paula- : -version a- : -Date 01/11/04- : -Made in Spanish-:

  
处理方式
用Web界面检查ForiGate的病毒库是否最新病毒库，更新到最新病毒库，如有必要请使用"Allow Push Update"选项。