此次攻击始于12日，所用的是一个后门木马程序。该木马在安装后可修改系统安全设置，随后连接到一个远程IRC服务器上，接受远程攻击者的控制。13日，第二波木马攻击来袭，表明攻击者可能要“打持久战”。

该木马会将自身拷贝自系统目录，并命名为“wgareg.exe”，随后添加自启动服务“Windows正版增值注册服务”。为了进一步迷惑用户，木马还会发出警告说：“确保你的微软Windows拷贝是正版的、注册过的。请勿停止或取消此服务，否则会导致系统不稳定。”

微软安全响应中心表示，这次木马攻击具有“高度的针对性”，未打补丁的Windows 2000系统是重点攻击目标。

据安全机构LURHQ Threat Intelligence Group称，攻击者使用的是Mocbot木马的一个变种。Mocbot木马曾在去年8月的狙击波(Zotob)蠕虫攻击中被使用，而攻击者现在使用的仍是同样的IRC服务器主机名和命令控制方式。

美国国土安全部(DHS)上周曾敦促Windows用户尽快打上MS06-040补丁KB921883，以防蠕虫袭击，这是DHS首次建议电脑用户使用安全补丁。

微软安全公告：MS06-040