Justo después de la campaña de spam en LinkedIn, vemos una nueva campaña de spam haciéndose pasar por iTunes Store.

El correo electrónico parece proceder de iTunes Store y es una copia exacta de los comunicados oficiales que manda por e-mail.

El encabezado del correo da estos datos:

From: iTunes Store
Subject: Your receipt #155562898256
Date: October 1, 2010 11:01:10 PM GMT+08:00
To: YourName
Delivered-To: your@email.address.com
Received: by 10.216.237.150 with SMTP id y22cs208673weq; Fri, 1 Oct 2010 07:04:49 -0700 (PDT)
Received: by 10.142.203.16 with SMTP id a16mr4707302wfg.213.1285941888137; Fri, 01 Oct 2010 07:04:48 -0700 (PDT)
Received: from email.address.com ([0.0.0.0]) by mx.google.com with ESMTP id 13si2771198wfg.81.2010.10.01.07.04.46; Fri, 01 Oct 2010 07:04:48 -0700 (PDT)
Received: from KVSCHALD (unknown [180.215.161.77]) by email.address.com (AntiSpam Platform) with ESMTP id 58C5ED8A2DC43D37 for ; Fri, 1 Oct 2010 22:04:25 +0800 (MYT)
Received: from badger1402.apple.com (badger1402.apple.com [17.254.6.185]) by mail.romanmfg.com with SMTP id A993453C8F8 for ; Fri, 1 Oct 2010 07:01:10 -0800

El verdadero propósito del mensaje no es mostrar las posibilidades de compra de iTunes Store, sino que pretende que el usuario haga click en “Informar de un problema” para redirigirle a un falso instalador de Flash.

Tras hacer click en la URL, podemos ver esto:

El archivo ejecutable es en realidad la conexión a algún sitio web con extensión .ru que descarga otros archivos.

##########.ru/bin/koethood.bin
www.#####.com/webhp
##########.ru/9xq/_gate.php
##########.ru/9xq/_gate.php
##########.ru/9xq/_gate.php

Este es el informe del malware.