Microsoft kullanıcıları yeni gelişen çok büyük bir güvenlik tehdidine karşı uyardı. Bilgisayar korsanları Microsoft'un Windows İşletim Sistemleri'ni güncelleme sitesini birebir kopyalayarak, bundan habersiz kullanıcıların bilgisayarlarına zararlı yazılımlar ve Truva atları gönderiyor. Bu sitelerde orijinal site tasarımı aynen korunurken, güncellemeyi indirmek için tek bir tuş ve sitenin başlığında görülen "Bu kritik güncellemeyi hemen indirin (zorunlu)" veya "Acil lütfen kritik Windows XP/2000/2003/Vista güncellemesini indirin!" gibi kullanıcıları kandırmaya yönelik mesajlar kullanılıyor.
Bu sitelerin gerçek adresi ise halen açık olan fakat bu zararlı oluşumları barındırmayan cfm48.com'du. Bu web adresinin Kaliforniya'da yaşayan bir vatandaş üzerine kayıtlı olduğu tespit edildi. Buna karşılık siteyi kötü amaçlarla kullanan kişinin adresin sahibi olup olmadığı kanıtlanamamakta. F-Secure'dan yapılan açıklamaya göre, web adresi sürekli değişen dinamik bir IP adresine sahip. DNS yönetiminden yapılan da saldırının kaynağının bulunmasını çok zor bir hale getirmekte.
Sitedeki indir düğmesine bastığınız zaman WindowsUpdateAgent30-x86-x64.exe isimli Truva atı yükleyici W32/Agent.DYD ve W32/Agent.CVU adlı kötü amaçlı yazılımları bilgisayara yükler.
Microsoft yetkilileri bu zararlı sitelerden birkaçını şimdilik yasal girişimlerle kapatmaya alışsa da yenilerinin ortaya çıkmasının an meselesi olduğunu belirttiler. Kullanıcılara Windows işletim sistemlerinin yerleşik güncelleyicisi dışında hiçbir site veya uygulamanın önerdiği güncellemeyi bilgisayarlarına yüklememelerini tavsiye etti.