El programa, conocido como Xombe o Dloader-L llega como adjunto ejecutable en los mensajes de correo electrónico aparentemente provenientes de [email protected] y se auto-instala en el ordenador de la víctima cuando el usuario abre el archivo adjunto.

Una vez instalado, Xombe se conecta a un sitio web del que descarga e instala otro programa llamado Mssvc-A, que es un troyano que utiliza el ordenador de la víctima para realizar ataques de denegación de servicio contra páginas web, según el fabricante de antivirus Sophos.

Xombe es considerado de bajo riesgo por la mayor parte de fabricantes antivirus, como Sophos, Computer Associates o Symantec. No es un gusano ni un virus, y tampoco hace copias de sí mismo. En su lugar, es distribuido utilizando mensajes de spam o correo no deseado.

Esos mensajes suelen incluir un texto en el que se indica al usuario que Windows Update ha detectado que está ejecutando una versión beta del Service Pack 2 de Windows XP y que Microsoft le recomienda que lo elimine para mejorar la estabilidad de su ordenador. También se le insta a que ejecute el archivo winxp_sp1.exe que se adjunta y a que reinicie su ordenador tras la instalación.

Los fabricantes de antivirus ofrecen desde el viernes definiciones actualizadas para detectar Xombe e instrucciones para eliminar los troyanos de los ordenadores infectados.

Microsoft distribuye frecuentemente boletines de seguridad por e-mail, pero nunca incluye actualizaciones de software como adjuntos.