Remitente, además de las direcciones capturadas aleatoriamente emplea direcciones falsas con la técnica Spoofing: 

Asunto, uno de los siguientes:

• Ermittlungsverfahren wurde eingeleitet
• Sie besitzen Raubkopien
• Anzeige ist erstatet
• Ich Zeige sie an!
• Sie betrueger!
• Ihre Akte!
• Sie kommen ins Knast!
• Ihre IP wurde geloggt!
• BundesKriminalAmt
• Ich zeige dich an!
• Hoer auf damit!
• Warum machst du das?
• Es ist AUS!
• akte
• Du Sexgott!
• Du bist mein Sexgott!
• Ficke meine Brust!
• Ich lauf aus bitte leck mich!
• Es leuft mir schon das bein Runter Honey!
• Bums mein Arsch!
• Fick mein Po!
• Ich bin dauergeill warum?
• Umsonst mein Arschficken ab 18 Jahren!
• Lass dich Umsonst Wixen! Nur ab 18 Jahren!
• Treibs mit einer schlampe!
• Betrueg bitte deine Frau mit mir!
• Ich liebe dich!
• Nimm mich durch mein Schadz!
• Du machst mich so Geil!
• Ich hab die neuen Fotos Fertig!
• Bums eine Schwarze und gewinne WM-Karten!
• Es ist ein Missverstaendnis geschehen
• Falschueberweisung
• Ueberweisung an einen falschen Adressanten
• Das Geld das nicht mir gehoert
• Postbank Ueberweisungen
• Ich hab ihr Geld.
• Ich habe Geld von ihren Postbank Konto bekommen
• Warum schicken sie mir Geld?
• 1000 Euro von der Postbank
• Geld von Postbank
• Geldueberweisungen
• Missueberweisungen
• Bitte stoppen Sie es
• Ihr Geld
• Postbank
• Uberweisungen
• Ihre Auszahlungen an mich
• Fasches Bankkonto
• Geld
• Falscher Adressant
• WM Tickets!
• Hallo!
• Guten Tag! Hier sind ihre WM Tickets!
• Sie haben WM Tickets gewonnen!
• Holen sie jetzt ihre WM Tickets ab!
• Weltmeisterschaft!
• Komme mit!
• JehhuuuU! WWWMMMM!!
• Gewonnen? GeWONNEN!
• Holen sie sich WM Tickets fuer das Finalle JETZT!

Contenido, uno de los siguientes:

• Sehr geehrte Dame, sehr geehrter Herr,
  das Herunterladen von Filmen, Software und MP3s ist illegal  [número_telefónico] rat LS 2
  --- 65173 Wiesbaden
  --- Tel.: +49 (0)611 - 55 - 12331 oder
  --- Tel.: +49 (0)611 - 55 - 0
• Guten Tag sehr geehrte Damen und Herren!
  Meine Web-Site zeichnete Angriffe von ihrer IP Auf
  Ich ha [número_telefónico]  hab ich der Email beigefuegt.
  Password fuer die Anklageschrift lautet: [Password]
  mfg
  Karl Stein
• Tina es ist schluss!
  Unterlasse es mir die fotos zu schicken
  wir sind nicht mehr zusammen und ich  [número_telefónico] h einen Password rauf gemacht
  das Password ist dein Name: [Password]
  schreib nicht zurueck
  Alexei
• Sehr geehrte Frau Tisha
  das Zuspammen von meiner Email mir ihren nacktfotos
  bleibt nicht unbemerkt [número_telefónico]  Email beigefuegt,
  dass Password lautet: [Password]
  Bitte keine Fotos und Emails mehr
  mfg
  Kresen
• Warum drohen sie mir hab ich ihnen was getann?
  Ich wusste schon lange das Schwarze nicht erweunscht [número_telefónico]  drinne ist eine Kopie
  der Anzeige
  das Password fuer die Anzeige lautet: [Password]
  mfg
  Ublaskar
• Wir werden sehen ich sperre mich ein!
  Sie drohen mir das sie mich aufschlitzen wollen?
  Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
  Hier die letzte mahnung hab ich der Email beigefuegt!
  das Password lautet: [Password]
  Werner Blass
• Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
  Das ist Sexuelle be [número_telefónico]  und die Fotos als beweis hab ich der Email beigefuegt
  das Password ist : [Password]
  Emilion Volks
• Hi Schadz ich schreib aus den Inet cafe in Muenchen
  meine neuen Fotos sind fertig und ich vermisse  [número_telefónico] et hab ich ein Password
  drauf gemacht das Password ist mein name also: [Password]
  Mit liebe Monica
• Hi sexgott ich bin so geil das ich nicht mehr kann
  hier ein paar fotos wie ich grade abgehe!
  das Password fuer die fotos ist: [Password]
  Gruesse Monica
• Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben
  ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an
  was meinst du?
  Guck dir meine Fotos an und sag bescheid!
  das Password fuer die fotos ist: [Password]
  geilen gruss
  Tina
• Oh BABY!!!
  Ich bin so geil bitte fick mich
  meine muschi leuft aus ich will dich o bitte bitttte.........
  hofffendlich bist du auch Geil wenn du meine Pics siehst :P
  habe dir paar neue mitgeschickt
  das Password ist: [Password]
  bye bye
• Ja ich bin deine HERRIN
  aber du darfst trozdem mein Hintern ficken
  ich weiss nicht warum aber das fuelt sich ueber geil an
  mach das baby oder hast du keine lust?
  Guck dir meine fotos an du wirst schon lust bekommen
  das Password fuer die pics ist: [Password]
  cya dein bussi
• Hi honey
  wie findest du eigendlich das das deine Schwester so Rumhurt?
  ich mag sie voll gerne aber [número_telefónico] einen Eltern zeigst aber das video schick ich dir
  das Password dafuer ist : [Password]
  Alles liebe
• Warum betruegst du Albert?
  Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
   [número_telefónico] chick ich mit der Email
  das Password was ich darauf gemacht habe ist: [Password]
  Fick dich
  Helena
• Hallo Albert
  Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
  mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
  Die fotos sind mit der emial
  das Password hab ich raufgemacht es lautet: [Password]
• Willst du WM tickets gewinnen?
  Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
  2 Tickets fuer das Finalle!
  Der geweinnzettel ist beigefuegt!
  Ihr persoenliches Password lautet: [Password]
  Ihr WM Team
• Sehr geehrte Damen und Herren,
  vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen  [número_telefónico] uenden ein Password darauf gelegt, er lautet [Password]
  Mit Freundlichen Gruessen
  Manfred Schmidt
• Sehr geehrte Damen und Herren,
  seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, a [número_telefónico] sung gemacht, Kennwort fuer das Archiv lautet [Password]
  Mit freundlichen Gruessen
  Mattias Botcher
• Sehr geehrte Damen und Herren,
  warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es [número_telefónico]  die sie gemacht haben.
  Password dafuer lautet [Password]
  Mit freundlichen Gruessen
  Gerhard Meyer
• Sehr geehrte Damen und Herren,
  ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
  Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
  In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet [Password]
  Mit freundlichen Gruessen
  Ingrid Behnke
• Sehr geehrte Damen und Herren,
  ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
  Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
  Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet [Password]
  Mit freundlichen Gruessen
  Anne Flachman
• Hi,
  thx das du Geld an mich schicks, aber kannste damit auf hoeren?
  Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: [Password]
  mfg Henry
• Hallo,
  sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account.
  Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
  Hier eine Anhang mit der Ueberweisung. Password dafuer lautete [Password]
  Have a nice day
  John Walthers
• Sehr geehrte Damen und Herren,
  wir laden Sie rechtherzlich zu unseren
  Gewinne WM Tickets
  Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
  Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
  Das Kennwort fuer den Formular lautet [Password]
  Herzlichen Dank
  Bathe Maune
• Sehr geehrte Damen und Herren,
  Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei!
  Verpassen Sie ihre einmalige Chance nicht!
  AnhangsPassword: [Password]
  Mit freundlichen Gruessen
  Lotto-GDI GmbH
• Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
  Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
  entpacke es und druecks aus. Password fuer den Archiv lautet [Password]
  mfg Nadine
• Hi man,
  ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
  Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
  Password zu dem Archiv lautet [Password]
  Mfg Niemand ;)
• Sehr geehrte Damen und Herren,
  Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticke [número_telefónico] ang lautet [Password]
  Mit freundlichen Gruessen
  WM
  Free Tickets Organisation (kurz gesch. WMFTO)
• Sehr geehrte Damen und Herren,
  ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, a [número_telefónico]  Tickets, Password fuer den Archiv lautet [Password]
  Mit freundlichen Gruessen
  Salim Heraldulkalam
• Sehr geehrte Damen und Herren,
  danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
  Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
  DateianhangsPassword: [Password]
  Mit freundlichen Gruessen
  Lotterie-NOD GmbH

Anexado, uno de los siguientes: 

• ihre_akte.zip
• vorladung.zip
• anklageschrift.zip
• anklage.zip
• Anzeige.zip
• bescheinigung.zip
• beweise.zip
• Anklage-Material.zip
• IhrEnde.zip
• Kopien.zip
• mypics.zip
• meinbild.zip
• ichbingeil.zip
• fickmich.zip
• meine_moese.zip
• bild01.zip
• fotze.zip
• reklament.zip
• sexy.zip
• free_pics.zip
• free_videos.zip
• fick_mich.zip
• geil.zip
• ich_lauf_aus.zip
• Rechnung.zip
• Kontoauszug.zip
• Abbild-Der-Rechnung.zip
• Rechnung-Anhang.zip
• Ueberweisung.zip
• Postbank-Ueberweisungen.zip
• Auszahlungen.zip
• Postbank.zip
• bank-kontoauszuge.zip
• Neuer Ordner.zip
• WM-Tickets.zip
• WM-Anhang.zip
• Anhang.zip
• Desktop.zip
• Weltmeisterschaft.zip
• New Folder.zip
• Tickets.zip
• archiv.zip
• Anhang-Tickets.zip
• ihre_akte.rar
• vorladung.rar
• anklageschrift.rar
• anklage.rar
• Anzeige.rar
• bescheinigung.rar
• beweise.rar
• Anklage-Material.rar
• IhrEnde.rar
• Kopien.rar
• mypics.rar
• meinbild.rar
• ichbingeil.rar
• fickmich.rar
• meine_moese.rar
• bild01.rar
• fotze.rar
• reklament.rar
• sexy.rar
• free_pics.rar
• free_videos.rar
• fick_mich.rar
• geil.rar
• ich_lauf_aus.rar
• Rechnung.rar
• Kontoauszug.rar
• Abbild-Der-Rechnung.rar
• Rechnung-Anhang.rar
• Ueberweisung.rar
• Postbank-Ueberweisungen.rar
• Auszahlungen.rar
• Postbank.rar
• bank-kontoauszuge.rar
• Neuer Ordner.rar
• WM-Tickets.rar
• WM-Anhang.rar
• Anhang.rar
• Desktop.rar
• Weltmeisterschaft.rar
• New Folder.rar
• Tickets.rar
• archiv.rar
• Anhang-Tickets.rar

El archivo anexado contiene el gusano/backdoor con un password aleatorio.

Al activarse se copia a la carpeta %System% como mszsrn32.dll el cual insertará en el proceso del winlogon.exe, para activarse la próxima vez que se re-inicie el sistema.

Agrega los siguientes valores:

"DllName" = "%System%\mszsrn32.dll"
"Startup" = "Startup"
"Asynchronous" = "1"
"Impersonate" = "0"
"Type" = "2"

a la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.