Svenskt virus/spam?

Jag fick ett misstänkt email idag. Inte så konstigt, det får man ju mest hela tiden, men detta skiljde sig från mängden då det var på svenska och innehöll en .exe-fil.

Såhär såg det ut:

Return-Path: <customercare@circuitcity.com>
Received: from i577A1805.versanet.de (87.122.24.5)
by våran.mailserver.se (FirstClass Mail Server v8.3 build 8.262) with SMTP
(Sender: customercare@circuitcity.com)
transient id 178; Mon, 14 Aug 2006 15:47:29 +0200
Date: Mon, 14 Aug 2006 20:45:18 +0600
From: billing support <customercare@circuitcity.com>
X-Priority: 3 (Normal)
Message-Id: <92293288.14928126@donner>
To: enannans.mailadress@vårandomän.se
Subject: Räkningen
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------1294F1BD38FDD10F"

Bäste Kund!
Räkningen

Filerna är bifogade som en bilaga och kan vidarebefordras tillsammans med detta meddelande.

Jag använder en gratis version av SPAMfighter som har fram till nu raderat 227 SPAM-brev. SPAMfighter är helt fri för privatbruk.
Det kan provas nu och gratis: TRYCK HÄR

Det som är underligt är att det är på svenska, och den bifogade "rakningen.exe" på 79K har jag ingen aning om vad den gör, troligtvis något virus. Men, det jag undrar är, går det att utläsa något i mailheadern vartifrån det är skickat? "TRYCK HÄR" var inte ens någon fungerande länk utan var bara ren text.
Det som jag censurerat har jag markerat med fetstil. Det första i censurerad fetstil är våran mailserver-adress och den andra censurerade "To"-adressen är ett annat mailkonto än mitt. Men det mailkontot fanns förut på våran server (personen som hade den adressen har slutat och adressen finns inte kvar längre).

Någon som har någon idé om var och vem som kan ha skickat det?

Rad två ser du vilken server som skickat brevet. Inklusive IP#.

Adressen före IP:t tycker jag ser ut som en reversadress som tillhör en internetleverantör i Tyskland (http://www.versatel.de). Förmodligen en kidnappad dator som spammar utan att ägaren vet om det.

Skicka en kopia till postmaster@versatel.de alternativt abuse@versatel.de och påpeka. Båda adresserna borde finnas om de har någon som helst kutym därborta.

Fick ett likadant mail, avsändare i mitt fall var dock "info@bestbuy.com".

Fick exakt samma meddelande i dag, men avsändaren var info@dell.com och epostservern har ett polskt domännamn.

Martin Pettersson skrev:

Någon som har någon idé om var och vem som kan ha skickat det?

Nu när du säger det så kommer jag ihåg att en kollega till mig fick ett sånt meddelande i dag. Hade jag inte varit okoncentread med en ringande telefon i handen när han tjoade om det hade jag tagit en närmare titt. Undrar hur pass spritt det är?

Vi kanske ska flytta ut denna diskussion från Lounge'n och se ifall icke 99mac-Plussare också känner igen detta?

Martin Pettersson skrev:

Vi kanske ska flytta ut denna diskussion från Lounge'n och se ifall icke 99mac-Plussare också känner igen detta?

Flyttar tråden till "Allt om Mac".

Jag fick det 16:57 idag:

Kod:

Received: from adsl-144-243-136.mia.bellsouth.net (adsl-144-243-136.mia.bellsouth.net [72.144.243.136])
	by pitr.legonet.org (Postfix) with SMTP id BF2F4233B7
	for <[min adress här]>; Mon, 14 Aug 2006 15:57:28 +0200 (CEST)

Jag fick det idag kl 16.11 till en alias-adress som finns på en hemsida
"Från" customer support <customercare@techdepot.com>

Fann sedan:

Received: from host-84-51-45-73.teletektelekom.com (host-84-51-45-73.tele[ tektelekom.com [84.51.45.73] (may be forged))
by mail1.space2u.com ...

Undrar om det är turkiska Teletek eller min leverantör som lagt in "(may be forged)"
Har aldrig sett det tidigare. Jag kollar i och för sig inte källkoden för alla meddelande men ett och annat har det blivit

Kollade just på F-secure och fann följande

Monday, August 14, 2006
Rakningen.exe going around Posted by Mikko @ 19:30 GMT

There's been a spam run of a new backdoor application which we now detect as Trojan-Spy.Win32.BZub.bs.

This was spammed in Swedish email messages with an attachment called Räkningen.exe or Rakningen.exe - which means "Bill" in most Nordic languages.

The actual trojan is very similar to the ones we've seen before targeting German speaking users (with "Rechnung.exe"). When run, the trojan drops ipv6mons.dll which monitors user activities.