Je n'ai pas honte de le dire, j'ai failli m'y faire prendre moi-même.
Voilà le courriel reçu (e 04/11), faussement émis par 123radar que je connais de nom :
L'affichage dans Lanikaï est trompeur : le champ envelope-from est en fait : envelope-from <www@lary.aquaray.com>
Le texte français est plutôt bien fait, mais une faute de génération du code (les balises) HTML casse toute la mise en page. Cela se produit à cette balise, en début de message :
<span<br> style=3D"font-weight: bold;">
Enfin, l'aspect viral montre son nez avec le lien bien visible dans le courriel :
Cliquer ICI
Pour Telecharger La Facture .
En fait, cela pointe sur : http://ryan8585. fileave.com/bill.exe
Et voilà le résultat VT pour ce fichier : 9/43 ! (version ligne de commande des AV).
Je peux par contre certifier que la version "complète" de Nod32, ainsi que Clam In The Cloud n'ont rien vu... Clam commence à détecter 12h plus tard (le lendemain matin de la réception du courriel)
Le courriel et son code viral ont contourné :
- les filtrages antispam de Orange
- les filtrages antispam de SpamAssassin
- les filtrages AV vus plus haut
- les filtrages sur URL de IE8, Chrome, FF 3
