Présentés comme une communication officielle émanant de Microsoft sous le titre de « Microsoft Security Bulletin MS07-0065 », ces courriers invitent l'internaute à se rendre sur le site de l'éditeur par l'intermédiaire d'un lien hypertexte. Celui-ci ne les mènera pas vers le service de mises à jour de Microsoft, mais vers une page infectée par un ver de type troyen - ou cheval de Troie, identifié par Sophos sous la référence Behav-112. Pour plus d'efficacité, les auteurs de l'attaque ont bien évidemment habillé leur courrier aux couleurs de Microsoft et déguisé leur lien sous une adresse qui ressemble à celle d'un site de l'éditeur.
Les habitués ne s'y tromperont sans doute pas, mais ce type d'attaque vise bien sûr des personnes peu au fait des pratiques des éditeurs en matière de sécurité, qui pourraient trouver parfaitement normal que Microsoft les prévienne par courrier de l'existence de mises à jour et ne pas prêter attention à une formulation hasardeuse ou à une adresse Web quelque peu étrange. Si vous recevez cet email, inutile de préciser qu'il est préférable d'immédiatement le supprimer.