Account hotmail compromesso

[MatCap83]

Ciao, vorrei chiedere un consiglio. Qualche giorno fa (6 luglio 2012), dall'account hotmail della mia ragazza sono state inviate centinaia di mail contenente un link ad un sito (phishing, scam, ...). Lei non era collegata in quel momento, né aveva lasciato acceso il suo pc, o altri, con possibilità magari di collegamento al suo account. Cosa può essere successo? Qualcuno si è collegato al suo account? Sono stati compromessi degli account sui server di hotmail? Se la mia ragazza avesse avuto il pc acceso, poteva trattarsi di un virus/worm.

La mail, arrivata anche a me su gmail, è questa:

Received: by 10.216.24.97 with SMTP id w75csp97052wew;
Fri, 6 Jul 2012 07:37:52 -0700 (PDT)
Received: by 10.216.55.210 with SMTP id k60mr4036123wec.87.1341585471362;
Fri, 06 Jul 2012 07:37:51 -0700 (PDT)
Return-Path: <xxx@hotmail.it>
Received: from dub0-omc3-s22.dub0.hotmail.com (dub0-omc3-s22.dub0.hotmail.com. [157.55.2.**])
by mx.google.com with ESMTP id g5si27809961wer.19.2012.07.06.07.37.50;
Fri, 06 Jul 2012 07:37:51 -0700 (PDT)
Received-SPF: pass (google.com: domain of xxx@hotmail.it designates 157.55.2.** as permitted sender) client-ip=157.55.2.**;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of xxx@hotmail.it designates 157.55.2.** as permitted sender) smtp.mail=xxx@hotmail.it
Received: from DUB108-W55 ([157.55.2.*]) by dub0-omc3-s22.dub0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 6 Jul 2012 07:37:49 -0700
Message-ID: <DUB108-W55A4171A21061676F4C949CCEE0@phx.gbl>
Return-Path: xxx@hotmail.it
Content-Type: multipart/alternative;
boundary="_346109b5-d3ee-413d-8242-582e66b7ef5c_"
X-Originating-IP: [79.190.120.***]
From: XXX XXX <xxx@hotmail.it>
To: INDIRIZZI MAIL, CENTINAIA
Subject:
Date: Fri, 6 Jul 2012 16:37:49 +0200
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 06 Jul 2012 14:37:49.0765 (UTC) FILETIME=[EADB1750:01CD5B84]

--_346109b5-d3ee-413d-8242-582e66b7ef5c_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


http://primosito.net/monty/wp-conten....html?ajtypia=
=3Drnxnsw =

--_346109b5-d3ee-413d-8242-582e66b7ef5c_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>
<font style=3D"font-size: 10pt=3B" size=3D"2" face=3D"Tahoma "><a href=3D"h=
ttp://primosito.net/monty/wp-content/uploads/fgallery/ogpmgd.html?ajtypia=
=3Drnxnsw"> http://primosito.net/monty/wp-conten...lery/ogpmgd.h=
tml?ajtypia=3Drnxnsw</a></font> </div></body>
</html>=

--_346109b5-d3ee-413d-8242-582e66b7ef5c_--

L'IP di origine risiede in Polonia, ammesso che sia reale..

Grazie!!