Кажись, новый зверь

[pig]

Письмо следующего содержания:

Уважаемый Алексей!

Руководство компании AMD International Sales Services Ltd.
имеет честь пригласить Вас на торжественный прием, посвященный запуску
новой платформы.

Более подробная информация в приложенной открытке.
Если Ваш браузер не поддерживает просмотр flash-графики, рекомендуем
воспользоваться ссылкой
http://www.adobe.com/shockwave/downl...m/default.html.

Просим Вас подтвердить свое присутствие.

Руководство компании AMD International Sales Services Ltd.

Обратный адрес подозрительно левый: [email protected]
Вложения: amd.swf и amd.zip. В архиве - amd.exe с иконкой, косящей под флэшку, но как-то криво нарисованной. Чем напоминает разновидности Perf от Ксюх, Катюх и компании. Проверил архив на Virustotal - никто ничего не увидел:

Complete scanning result of "amd.zip", received in VirusTotal at 05.31.2006, 07:32:22 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.34 05.30.2006 no virus found
Authentium 4.93.8 05.31.2006 no virus found
Avast 4.6.695.0 05.29.2006 no virus found
AVG 386 05.30.2006 no virus found
BitDefender 7.2 05.31.2006 no virus found
CAT-QuickHeal 8.00 05.30.2006 no virus found
ClamAV devel-20060426 05.30.2006 no virus found
DrWeb 4.33 05.30.2006 no virus found
eTrust-InoculateIT 23.72.22 05.31.2006 no virus found
eTrust-Vet 12.6.2233 05.30.2006 no virus found
Ewido 3.5 05.30.2006 no virus found
Fortinet 2.77.0.0 05.31.2006 no virus found
F-Prot 3.16f 05.31.2006 no virus found
Ikarus 0.2.65.0 05.30.2006 no virus found
Kaspersky 4.0.2.24 05.31.2006 no virus found
McAfee 4773 05.30.2006 no virus found
Microsoft 1.1441 05.31.2006 no virus found
NOD32v2 1.1568 05.30.2006 no virus found
Norman 5.90.17 05.30.2006 no virus found
Panda 9.0.0.4 05.30.2006 no virus found
Sophos 4.05.0 05.30.2006 no virus found
Symantec 8.0 05.31.2006 no virus found
UNA 1.83 05.30.2006 no virus found
VBA32 3.11.0 05.30.2006 no virus found

Сейчас закачаю для анализа.

[pig]

Файл сохранён как amd_447d2fd93dc1c.rar
Размер файла 1158559
MD5 caeacd4efd4fe5076cc653785e85a6fe
Внутри прямо оригинальное сообщение в формате EML. Пароль не ставил.

[Xen]

Все-таки антивирусы в плане эвристики сосут. Ведь наверняка новый пинч.

[Зайцев Олег]

Самое мешное внутри - это действительно презентация а-ля Flash, правда тоже кривовато нарисованная. В явном виде она не безобразит (данные никому не передает, файлы/процессы не плодит. Хотя в файл размером более 1 МБ можно черта запихать ... Короче, суть флеш-презентации - якобы фирма AMD приглашает на пьянку в ресторан, в приложенной каритинке итоговый скриншот, там есть адрес ресторана и куда писать для записи на банкет
По заголовкам письмо получено от 195.5.145.162 ( mail.spnogilvy.ru ) - вроде все совпадает с содержимым презентации.

[pig]

Была как-то зимой такая же странная рассылка. Вроде как российский офис Microsoft предлагал заполнить анкету. Правда, ссылка вела в какое-то очень странное место, да и саму рассылку сделали через какой-то чешский сервер, работающий под Linux (это MS!). Я даже списывался с Касперскими, оно что-то там проверяли и решили, что троянов по ссылке не сажают. Но удивлены были не меньше.

Похоже, очередная местная самодеятельность или "нигерийский вариант". Спасибо.

[MOCT]

Похоже, очередная местная самодеятельность или "нигерийский вариант".

это флэш-моб "в темную". представляете - толпы людей приходят в этот ресторан и требуют халявной презентации!
смущает только одно - откуда они знают имя?

[pig]

Причём прислали только на один из десятка наших засвеченных адресов. Какую-то другую базу данных использовали, не типовую.

[Xen]

ЛОЛ