Tämä kirje on todella VAARALLINEN. Tässä virusskannauksessa koneellesi saapuu VIRUS.
ÄLÄ KOSKE LIITTEESEEN, ÄLÄ KLIKKAA KINKKEJÄ, äläkä vastaa kirjeeseen.
--------------------------------KIRJE HTML näkymässä-----------------------------------
--------------------------------KIRJE TXT näkymässä---------------------------------
"itm. pro" on puolalainen IT alan toimija. Todennäköisesti feikki-firma, jonka domainilla ratsastetaan tai kyseessä on hakkeroitu palvelin. Kaikissa tapauksissa kirje on vaarallinen.
Kirjeen rakennustapa näyttää jatkuvasti vaarallisia spämmejä lähettävän henkilön tai ryhmän käsialalta. Vastaavalla tavalla rakennettuja ansakirjeitä saapuu niin paljon, että kyseessä on mahdoillisesti venäläinen ryhmä. Tämä sylttytehdas on lähettänyt tänä syksinä jo toistasataa ansakirjettä.
Linkkien osoitteet on koodattu piiloon mutta osoite vie tuttuun IP osoitteeseen: "84.247.166. 138" joka kuuluu Contabo GmbH:n koneelle, joka on Saksassa pilvipalveluita ja webhotelleja tarjoava yritys. Maantieteellinen sijainti on kuitenkin Englannissa. Yritykselle on kerrottu, että kone on ilmeisesti hakkeroitu, tai joka tapauksessa koneella on VAARALLISTA aineistoa. Mahdollisesti virus, tai muu haittaohjelma. Virustorjuntaohjelma varoittaa salaamattomasta yhteydestä koneelle, joka saattaa mahdollistaa haittaohjelman sijoittamisen viestivirtaan.
SCAMADVICER virustorjunta kertoo lähetysosoitteesta:
"Negative highlights
This website does not have many visitors
We did not find a SSL certificate
We could not analyze the content of the site"
Tämän sylttytehtaan tuotannon tunnusmerkkrihin kuuluu mm. base64 koodattu HTML esitys.
Tämä näyttää lähdekoodissa kirjainsotkulta mutta käännettynä, se on esityskelpoista HTML:ää, kuten tämän artikkelin ylimmästä kuvakaappauksesta näkyy. TXT muotoa esittävä selain ei osaa kääntää koodia, joten kirje näyttää yksinkertaisemmalta.
