Расчет банальный, но по-прежнему хорошо работает на практике: потенциальную жертву запугивают коллекторами (а кто сейчас не вздрагивает при упоминании об этих паразитирующих дармоедах?) и провоцируют ознакомиться с вложением, которое, разумеется, содержит троянский вирус.
В письме было два файла, один из которых был автоматически уничтожен антивирусной программой. Второй был заархивирован и видимо по этой причине уцелел. Открывать и анализировать архив я не стал, потому что это лишняя трата времени, уловка слишком банальна, и ничего, кроме вируса там быть не может.
Надо отметить, что письмо пришло не с какого-то публичного email, но с «правильного» адреса в доменной зоне ponyexpress.ru, причем замаскирован он оказался достаточно хорошо и обнаружить подделку в заголовках (старым добрым и простым способом) оказалось не так просто. Лишь в одном месте в заголовках «засветился» левый сайт «rubizproject.ru», переход на который решительно блокируется всеми антивирусными пакетами. При этом на российском сайте Pony Express выставлено вот такое объявление: