Virustorjunta alkaa löytää tämän "UNSUBSCRIBE" huijarin lukemattomat kirjeet mutta edelleen niitä näyttää saapuvan harvakseltaan. Tunnistettavan niistä tekee tuo yksi ainoa sana ja siitä lähtevä linkki, sekä järjetön tyylipalettidatamössö (näkyy kirjeen lähdekoodissa) joka on jokaisessa kirjeessä. Myös jokaisen kirjeen tiedostokoko on sama eli 740 KB. Mitä data sitten tekisi koneellasi, jää arvoitukseksi. Tuota dataa voi käyttää luovemminkin, kuin ainoastaan kirjeen stailaamiseen (mikä tässä tapauksessa on täysin absurdi ajatus). Data tuottaisi, tuskin mitään terveellistä tuon PHP ohjelman avustuksella jonne "UNSUBSCRIBE" linkki veisi. Hakkereilla on ohjelmistoja joilla voi yhdistää eri koodinosia ja yhden koodin (linkin) laukaisu saattaa sitten muodostaa jo ennetään koneella olevan koodin kanssa viruksen, jota ei virustorjunta huomaa.
Kone jonne "UNSUBSCRIBE" linkki nyt osoittaa on Turkissa, Istambulissa.
Aikaisemmin se oli samalla windows.net koneella kuin muutkin kaksi linkkiä (kuva ja html - sivu. (HTML sivu saattaa sitten viedä aivan minne tahansa hyppylinkkinä).
Valeosoitteesta lähetetty kirje on lähtenyt palvelimelta, jonka kone IP:n omistaa:
person: Shawn Arcus
address: PO Box 50767, Henderson, Nevada 89074-0767, USA
Hän tuskin on lähettäjä. Huijari piiloittaa itsensä.
----------------------------------KIRJE-----------------------------------
Varastollamme on (1) pakettia odottamassa kuljetusta sinulle.
From Jakelukeskus (tämä on lähetetty feikkiosoitteesta joka ei sijaitse missään)
To sinun.osoitteesin@joku.fi
Date Today 05:38
[contactphoto] (kuva on linkitetty windows.net palvelimelta jonne olen roskapostittajasta jo ilmoittanut - vaikutusta ilmoituksella ei näytä olevan, koska spämmäys saa jatkua linkkeineen)
UNSUBSCRIBE (Linkin takana on turkkilaisella palvelimella oleva huijarin PHP ohjelma joka saataa olla virus tai muu haittaohjelma)
