Le message de spam semblant provenir du support client de Microsoft est rédigé dans la langue anglaise, et plutôt bien ficelé. Sous prétexte d'une mise à jour critique, il propose un lien censé pointer vers le centre de téléchargement de Microsoft afin de rapatrier une version robuste d'Outlook / Outlook Express datée du 22 juin 2009 ( date adaptée en fonction de l'envoi ), pour toutes les versions de Windows supportées.
Ce faux peut être trompeur car le lien proposé paraît légitime : http://update.microsoft.com/microsoftofficeupdate/isapdl/default.aspx[...], mais un passage avec le pointeur de la souris laisse apparaître un lien qui ne l'est plus : http://update.microsoft.com.lillh1.com/microsoftofficeupdate/isapdl/default.aspx[...]. Tous les autres liens affichés dans le message sont pour leur part tout à fait légitimes.
Selon les laboratoires TrendLabs de Trend Micro, le lien frauduleux renvoie vers le téléchargement d'un cheval de Troie identifié sous le nom de ZBOT. Une fois exécuté, ce dernier accède à un site Web pour télécharger un fichier .bin lui donnant des informations sur des lieux de rapatriement d'une copie mise à jour de lui-même, et des endroits où envoyer les données qu'il aura dérobées sur la machine infectée.
