Me acaba de llegar un correo que miente de su procedencia: se dice de Gusanito.com y avisa que ‘he recibido una tarjeta’ sin embargo las ligas a las tarjetas apuntan a un ejecutable. El nombre de dicho ejecutable es “Gusanito-ls.exe”
Aquí la fuente de el correo:
Delivered-To: rolandog@gmail.com
Received: by 10.35.74.17 with SMTP id b17cs132415pyl;
Wed, 24 Oct 2007 14:14:44 -0700 (PDT)
Received: by 10.100.202.9 with SMTP id z9mr1428178anf.1193260483143;
Wed, 24 Oct 2007 14:14:43 -0700 (PDT)
Return-Path: <web@jaj.com>
Received: from disaster.jaj.com (ns2.jaj.com [24.123.75.82])
by mx.google.com with ESMTP id z80si2060376pyg.2007.10.24.14.14.41;
Wed, 24 Oct 2007 14:14:43 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of web@jaj.com designates 24.123.75.82 as permitted sender) client-ip=24.123.75.82;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of web@jaj.com designates 24.123.75.82 as permitted sender) smtp.mail=web@jaj.com
Received: from disaster.jaj.com (IDENT:1011@localhost [127.0.0.1])
by disaster.jaj.com (8.13.8/8.13.8) with ESMTP id l9OLEI5u021008
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
for <rolandog@gmail.com>; Wed, 24 Oct 2007 17:14:18 -0400
Received: (from web@localhost)
by disaster.jaj.com (8.13.8/8.12.9/Submit) id l9OLEIGI021007;
Wed, 24 Oct 2007 17:14:18 -0400
Date: Wed, 24 Oct 2007 17:14:18 -0400
Message-Id: <200710242114.l9OLEIGI021007@disaster.jaj.com>
To: rolandog@gmail.com
Subject: ¡ Haz recibido una postal de Gusanito!
From: "Gusanito.com.mx" <tarjetas@gusanito.com.mx>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office">
<head>
<meta http-equiv="Content-Language" content="en-us" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Hola</title>
<style type="text/css">
body *{outline:none;}
table{font-size:inherit;font:x-small;}
div.msgbody :link{text-decoration:underline;}
a{color:#039;}
a{text-decoration:none;}
</style>
</head>
<body>
<table cellSpacing="0" cellPadding="0" width="706" border="0">
<tr>
<td bgColor="#b5de22" colSpan="5">
<font face="tahoma,helvetica,arial,sans" color="black" size="2"><br />
Hola, has recibido una tarjeta. <br />
<br />
</font></td>
</tr>
<tr>
<td vAlign="top">
<table width="90%" align="center">
<tr>
<td>Alguien<font face="tahoma,helvetica,arial,sans" size="2">
escogió una tarjeta de nuestro sitio especialmente para ti.<br />
<br />
Para verla, haz click en el siguiente enlace y descarga nuestra
nueva herramienta:<br />
<span id="lw_1182299460_0" style="BACKGROUND: none transparent scroll repeat 0% 0%">
<a target="_blank" rel="nofollow" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">http://gusanito.com/tarjetas/45878F32F6FE02SSBD7D604821A8B1B2C187915071/187915071/gusanito</a></span><br />
<br />
(Si el enlace no funciona, puedes copiarlo y pegarlo en la barra
de direcciones de tu navegador).<br />
<br />
Para recogerlo a mano desde la página, acude a:
<span id="lw_1182299460_1">
<a target="_blank" rel="nofollow" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">
http://gusanito.com/g/gusanito/manualRetrieve.jsp</a></span><br />
<br />
Y en el recuadro ingresa el siguiente código:
45878F32F6FE02SSBD7D604821A8B1B2C187915071<br />
<br />
<font size="1"><i>*NOTA: Este código te sirve sólo para esta
ocasión, no es una contraseña ni te servirá para recoger otros
contenidos.</i></font></font></td>
</tr>
<tr>
<td><hr /></td>
</tr>
</table>
<table width="90%" align="center">
<tr>
<td><br />
</td>
</tr>
</table>
<br />
<table width="100%" align="center" bgColor="#e5e5e5">
<tr>
<td width="10"></td>
<td><font face="arial,tahoma,helvetica" size="2">Te recordamos
que tu tarjeta estará disponible 2 semanas a partir de la fecha
en que fue enviada.<br />
<b>Por favor, no respondas a este correo. Esta cuenta no es
monitoreada y por ello no recibirás respuesta. </b>Para
asistencia, conéctate a
<a target="_blank" rel="nofollow" href="http://gusanito.com">
<font color="#433691"><span id="lw_1182299460_3">
www.gusanito.com</span></font></a> e ingresa en la liga "Ayuda"
ubicada en la esquina superior derecha del sitio.</font></td>
<td width="10"></td>
</tr>
</table>
</td>
</tr>
<tr>
<td bgColor="#b5de22" colSpan="5">
<font face="tahoma,helvetica,arial,sans" color="white" size="2"><br />
<br />
® & © <span id="lw_1182299460_4">
<a target="_blank" href="http://www.sphericalimprovement.com/blogs/mbowler/uploads/Gusanito-ls.exe">
Gusanito.com</a></span> S. de R.L. de C.V. Todos los derechos reservados.</font></td>
</tr>
</table>
</body>
</html>
Trataré de localizar al dueño de sphericalimprovement.com y al señor Mike Bowler — cuyo blog se encuentra en sphericalimprovement.com/blogs/mbowler/ — para ver si sus servidores no han sido hackeados y adicionalmente para ver si pueden borrar ese archivo antes de que la gente ingenua se haga daño.
Lo bueno es que hay más personas que le ha sucedido lo mismo y que, afortunadamente, se dieron cuenta y que lo dan a conocer. Avísenle a sus amigos para evitar que se infecten.