message suspect à cause d'une page web idem

Top Page

Reply to this message
Author: guilde.nt
Date:  
To: guilde
CC: guilde
Subject: message suspect à cause d'une page web idem
http://fanandish.com/m22338sx.html

Le message qu'un collègue a reçu ne contenait que cette ligne. (Ne
cliquez pas ; utilisez wget.) L'ordinateur semble être à Téhéran ;
la page renvoie vers

http://crazymessage.biz/go.php

qui est sur un ordinateur à Tver, Russie, qui nous envoie vers

http://vwg3wgshs.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNDAQHBQwFBA==

une page qui se trouve sur un ordinateur à Kazan, Russie ; ce dernier
ne répond pas.
Le lendemain, mon collègue recevait ce message :

http://www.laspircas.cl/m22338sx.html

Le Chili, cette fois-ci ; mais on est renvoyé vers le même

http://crazymessage.biz/go.php

qui peut renvoyer vers la même page qu'au dessus, ou vers une autre. A
noter que le document demandé ("QQkFBg0AAQ0MBA0DEkcJBQYNDAQHBQwFBA==")
est le même ; son titre est du binaire :

echo -n QQkFBg0AAQ0MBA0DEkcJBQYNDAQHBQwFBA== | base64 -d | od -tx1c
0000000  41  09  05  06  0d  00  01  0d  0c  04  0d  03  12  47  09  05
          A  \t 005 006  \r  \0 001  \r  \f 004  \r 003 022   G  \t 005
0000020  06  0d  0c  04  07  05  0c  05  04
        006  \r  \f 004  \a 005  \f 005 004


Sauriez-vous pousser cette analyse plus loin ?
Merci. -Nicolas