Me acaba de llegar un correo que miente de su procedencia: se dice de Gusanito.com y avisa que ‘he recibido una tarjeta’ sin embargo las ligas a las tarjetas apuntan a un ejecutable. El nombre de dicho ejecutable es “Gusanito-ls.exe”

Aquí la fuente de el correo:

Delivered-To: rolandog@gmail.com
Received: by 10.35.74.17 with SMTP id b17cs132415pyl;
        Wed, 24 Oct 2007 14:14:44 -0700 (PDT)
Received: by 10.100.202.9 with SMTP id z9mr1428178anf.1193260483143;
        Wed, 24 Oct 2007 14:14:43 -0700 (PDT)
Return-Path: <web@jaj.com>
Received: from disaster.jaj.com (ns2.jaj.com [24.123.75.82])
        by mx.google.com with ESMTP id z80si2060376pyg.2007.10.24.14.14.41;
        Wed, 24 Oct 2007 14:14:43 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of web@jaj.com designates 24.123.75.82 as permitted sender) client-ip=24.123.75.82;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of web@jaj.com designates 24.123.75.82 as permitted sender) smtp.mail=web@jaj.com
Received: from disaster.jaj.com (IDENT:1011@localhost [127.0.0.1])
	by disaster.jaj.com (8.13.8/8.13.8) with ESMTP id l9OLEI5u021008
	(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <rolandog@gmail.com>; Wed, 24 Oct 2007 17:14:18 -0400
Received: (from web@localhost)
	by disaster.jaj.com (8.13.8/8.12.9/Submit) id l9OLEIGI021007;
	Wed, 24 Oct 2007 17:14:18 -0400
Date: Wed, 24 Oct 2007 17:14:18 -0400
Message-Id: <200710242114.l9OLEIGI021007@disaster.jaj.com>
To: rolandog@gmail.com
Subject: ¡ Haz recibido una postal de Gusanito!
From: "Gusanito.com.mx" <tarjetas@gusanito.com.mx>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office">

<head>
<meta http-equiv="Content-Language" content="en-us" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Hola</title>
<style type="text/css">
body *{outline:none;}
table{font-size:inherit;font:x-small;}
div.msgbody :link{text-decoration:underline;}
a{color:#039;}
a{text-decoration:none;}
</style>
</head>

<body>

<table cellSpacing="0" cellPadding="0" width="706" border="0">
	<tr>
		<td bgColor="#b5de22" colSpan="5">
		<font face="tahoma,helvetica,arial,sans" color="black" size="2"><br />
		  Hola, has recibido una tarjeta.  <br />
		<br />
		</font></td>
	</tr>
	<tr>
		<td vAlign="top">
		<table width="90%" align="center">
			<tr>
				<td>Alguien<font face="tahoma,helvetica,arial,sans" size="2">
				escogió una tarjeta de nuestro sitio especialmente para ti.<br />
				<br />
				Para verla, haz click en el siguiente enlace y descarga nuestra
				nueva herramienta:<br />
				<span id="lw_1182299460_0" style="BACKGROUND: none transparent scroll repeat 0% 0%">
				<a target="_blank" rel="nofollow" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">http://gusanito.com/tarjetas/45878F32F6FE02SSBD7D604821A8B1B2C187915071/187915071/gusanito</a></span><br />
				<br />
				(Si el enlace no funciona, puedes copiarlo y pegarlo en la barra
				de direcciones de tu navegador).<br />
				<br />
				Para recogerlo a mano desde la página, acude a:
				<span id="lw_1182299460_1">
				<a target="_blank" rel="nofollow" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">
				http://gusanito.com/g/gusanito/manualRetrieve.jsp</a></span><br />
				<br />
				Y en el recuadro ingresa el siguiente código:
				45878F32F6FE02SSBD7D604821A8B1B2C187915071<br />
				<br />
				<font size="1"><i>*NOTA: Este código te sirve sólo para esta
				ocasión, no es una contraseña ni te servirá para recoger otros
				contenidos.</i></font></font></td>
			</tr>
			<tr>
				<td><hr /></td>
			</tr>
		</table>
		<table width="90%" align="center">
			<tr>
				<td><br />
				</td>
			</tr>
		</table>
		<br />
		<table width="100%" align="center" bgColor="#e5e5e5">
			<tr>
				<td width="10"></td>
				<td><font face="arial,tahoma,helvetica" size="2">Te recordamos
				que tu tarjeta estará disponible 2 semanas a partir de la fecha
				en que fue enviada.<br />
				<b>Por favor, no respondas a este correo. Esta cuenta no es
				monitoreada y por ello no recibirás respuesta. </b>Para
				asistencia, conéctate a
				<a target="_blank" rel="nofollow" href="http://gusanito.com">
				<font color="#433691"><span id="lw_1182299460_3">
				www.gusanito.com</span></font></a> e ingresa en la liga "Ayuda"
				ubicada en la esquina superior derecha del sitio.</font></td>
				<td width="10"></td>
			</tr>
		</table>
		</td>
	</tr>
	<tr>
		<td bgColor="#b5de22" colSpan="5">
		<font face="tahoma,helvetica,arial,sans" color="white" size="2"><br />
		<br />
		   ® & © <span id="lw_1182299460_4">
		<a target="_blank" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">
		Gusanito.com</a></span> S. de R.L. de C.V. Todos los derechos reservados.</font></td>
	</tr>
</table>

</body>

</html>

Trataré de localizar al dueño de sphericalimprovement.com y al señor Mike Bowler — cuyo blog se encuentra en sphericalimprovement.com/blogs/mbowler/ — para ver si sus servidores no han sido hackeados y adicionalmente para ver si pueden borrar ese archivo antes de que la gente ingenua se haga daño.

Lo bueno es que hay más personas que le ha sucedido lo mismo y que, afortunadamente, se dieron cuenta y que lo dan a conocer. Avísenle a sus amigos para evitar que se infecten.