במייל עצמו קיים גם לינק לאתר- שעוצב ממש כמו השירות של מייקרוסופט "Windows Update" - ובו קיימת האפשרות להוריד את העידכון.
העידכון עצמו הוא טרויאן (מדובר בטרויאן Troj/DSNX-05), הטרוייאן עצמו כותב אחרי שמתקינים אותו- שהוא תיקן את השגיאות והבאגים שהתגלו בשירותי המערכת, אבל פותח במחשב דלת אחורית לכל סקריפט קידי מזדמן.
כשה Troj/DSNX-05 מותקן על המחשב, הוא דבר ראשון בוחר שם ראנדומאלי ומעתיק את עצמו כקובץ DLL וכקובץ Exe לספריות ה%sysdir%, לאחר מכן, הוא מכניס את שמו כערך לרג’סטרי במפתח:
קוד:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinDSNX =
<Windows System>\<Trojan name
בשביל שהוא ירוץ כל פעם כשהמחשב נדלק.
דרך מציאת הטרויאן ומחיקתו מאוד פשוטה, פשוט נכנסים ברג’סטרי ל:
קוד:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ובודקים עם קיים המפתח "WinDSNX" - ואם כן, פשוט בודקים לאיפה הוא מצביע (ע"י הערך שלו) ומוחקים משם את הקובץ מטרה (הטרויאן)+ קובץ עם אותו שם, שנמצא באותו התיקיה, רק שהסיומת שלו היא "DLL", לאחר מכן, סתם בשיבל הסדר- מוחקים גם את המפתח הזה, וזהו.
לעוד מידע על הטרויאן מחברת Sophos:
http://www.sophos.com/virusinfo/analyses/trojdsnx05.html
למידע על המייל והסיפור:
http://news.com.com/Fake+Microsoft+security+updates+circulate/2100-7349_3-5660042.html?tag=cd.lede
לידיעה של מייקרוסופט:
http://www.microsoft.com/technet/security/bulletin/advance.mspx[ההודעה נערכה על-ידי cp77fk4r ב-12/04/2005 21:10:07]