Wird ein HTML-Mail-Viewer verwendet, der IFRAMEs unterstützt, so wird bereits beim Öffnen eine Schadroutiene von real.slon.biz geladen. Fuer all die, die bis dato wiederstanden haben existieren in der Mail einige 'Prüflinks', die Zwar scheinbar zu einer Grusskarte ('I cherish your love!') zeigen, in Wahrheit jedoch wiederum auf real.slon.biz verbinden.

Von dem Server real.slon.biz wird ein server.exe geladen. Ich hab noch keine Zeit gehabt mir das mal im Detail anzuschauen (*1). Wirklich interessant ist jedoch der Text, der dargestellt wird, falls das Laden der Server.exe nocht klappt:

<title>You Need a better browser</title>
<DIV ID=DS2 align=center style=position:absolute;left:10;top:-30;>
<br>
<br>
<center>
<font face=arial color=black>
<b>This web page requires Opera Comptable browser</b>&nbspYou can download Opera from the <a href=http://www.opera.com>Opera Software Group web site</a>.
</center>
</div>

Ist der Jetzt speziell für Opera, oder dient das nur zum Verwirren?

SPAM-üblich sind sowohl Absender-, als auch Enpfängeradressen von Harvestern. Die Grußkarte ist echt (abgesendet von einem 'fool-in-the-rain'), wie es aussieht hat der SPAMMer sich auch der original Quittungsmail angenommen.

---

*1 - So ganz nebenbei will $BROETCHENGEBER dass ich auch noch für andere Sachen als Symlink meine Zeit verschwende.