Открытое и свободное

Проверяя сегодня почту, обнаружил в одном из своих ящиков письмо с интригующим заголовком “Malware alert!”. В качестве имени отправителя значился “Administrator” из самого cisco судя по обратному адресу (jnl@cisco.com).
Содержание письма было таким:

Dear Customer,

Our robot has detected an abnormal activity from your IP adress
on sending e-mails. Probably it is connected with the last epidemic
of a worm which does not have official patches at the moment.

We recommend you to install this patch to remove worm files
and stop email sending, otherwise your account will be blocked.

Administrator

На что здесь сразу обращается внимание:
1. Ко мне обращаются customer производитель сетевого оборудования. Но я ничего не покупал у них и тем более не давал им свой e-mail
2. Администратор подписывается как Administrator, хотя обычно согласно этике человек всегда подписывается своими полным именем и фамилией (или ником)
3. Заявляется что официального патча нет, а мне присылается неофициальный
4. Во время отправления письма (04:17) я в течении нескольких часов находился оффлайн и никак не мог ничего отправлять
Какое подозрение выходит? Правильно, что-то вирусное.
Проверяем.
Смотрим все headers письма (свой адрес я удалю, во избежание просканивания страницы спамботами):

Return-Path:
Received: from [81.19.88.6] (HELO mx13.rambler.ru)
by mail32.rambler.ru (CommuniGate Pro SMTP 4.2.10)
with ESMTP id 30152358 for myaddress@rambler.ru; Mon, 09 Jul 2007 04:17:43 +0400
Received-SPF: softfail (mx13.rambler.ru: transitioning domain of cisco.com does not designate 85.239.148.29 as permitted sender) client-ip=85.239.148.29; envelope-from=jnl@cisco.com; helo=hst-148-29.union-net.net;
Received: from hst-148-29.union-net.net (hst-148-29.union-net.net [85.239.148.29])
by mx13.rambler.ru (Postfix) with SMTP id 1ABAB48982E
for ; Mon, 9 Jul 2007 04:17:04 +0400 (MSD)
(envelope-from jnl@cisco.com)
Received: (qmail 29599 invoked from network); Mon, 9 Jul 2007 03:17:36 +0300
Received: from unknown (HELO siu) (90.231.73.168)
by hst-148-29.union-net.net with SMTP; Mon, 9 Jul 2007 03:17:36 +0300

Вот он, попался Заметен интересный момент - в качестве адреса отправителя указан jnl@cisco.com, а само письмо отправлялось с hst-148-29.union-net.net, причем рамблер даже на это ругался! Явный случай подлога Теперь воспользуемся сервисом domaintools.com, о котором я уже писал и проверим, где расположен данный ip географически: “Кабелни Интернет Системи”, Болгария. Вы все еще верите что главный админ cisco живет в Болгарии? Осталось самое интересное - проверить ссылку
http://24.105.207.24/?a7c0b58e47d14c775ed2175ee0c2a - в первую очередь привлекает внимание то, что ip указан в виде цифр, а имя файла - в виде какого-то id. Это подозрительно. Это уже американский IP.
При проходе по ссылке обнаруживается надпись:

Your Download Should Begin Shortly. If your download does not start in approximately 15 seconds, you can click here to launch the download.Ссылка уже нормальная. http://24.105.207.24/patch.exe
Скачиваем, скармливаем онлайн-сканеру файлов Касперского и получаем заключение:

Scanned file: patch.exe - Infected
patch.exe - infected by Packed.Win32.Tibs.ab