Külföldi kutatók és a VirusBuster hazai felhasználói egyaránt nagy számban jelezték: olyan angol nyelvű e-mailek keringenek az interneten, amelyek látszólag "kötelező" Windows-frissítésre figyelmeztetnek, ám valójában trójait telepítenek az óvatlan felhasználó gépére.

Alább idézzük az üzenetet, amelyben természetesen van egy, az állítólagos frissítésre mutató link (vagy gomb) is. Jóllehet a levélben lévő URL elején szerepel az "update.microsoft.com" részlet, a cím végén a hackerek valamilyen domainje áll (például "pid95.com"). A link valójában egy rosszindulatú site-ra mutat, amely széles IP címtartományon működik. Figyelmes felhasználónak feltűnhet egy helyesírási hiba is: "intall".

Ha valaki elővigyázatlanul rákattint a linkre (illetve a gombra), trójai letöltőt telepít a gépére. A rosszindulatú kód kidob egy driver komponenst a rendszer-könyvtárba (C:\WINDOWS\SYSTEM\aspimgr.exe), s bejegyzi szerverként "aspimgr" néven (ez a listában "Microsoft ASPI Manager" hosszú néven jelenik meg).

A VirusBuster a letöltött trójait és a driver komponenst egyaránt Trojan.PR.Agent.CWOJ néven ismeri fel.

Az angol nyelvű üzenet szövege a következő:

> URGENT: Please intall critical Windows XP/2000/2003/Vista update!
>
> Urgent Install Get critical update (obligatory)
>
> Concerned about privacy? When you check for updates, basic information
> about your computer, not you, is used to determine which updates your
> programs need. To learn more, see our privacy statement.

(Forrás: VirusBuster)