Ecco il testo della mail:
<< Your Federal Tax Payment ID: 30581098 has been rejected. Return Reason Code R21 - The identification number used in the Company Identification Field is not valid. Please, check the information to get details about your company payment in transaction contacts section: attach name = report.18653.pdf In other way forward information to your accountant adviser. EFTPS: The Electronic Federal Tax Payment System PLEASE NOTE: Your tax payment is due regardless of EFTPS online availability. In case of an emergency, you can always make your tax payment by calling the EFTPS. >>
In allegato c'è un file con estensione pdf chiamato: report.18653.pdf .
In realtà esso non è un pdf, bensì un file exe zippato e rinominato come pdf per dargli una vesta amica.
La mail proviene dalla cina, dalla zona di Pechino sembrebbe, come si può notare dall'header della stessa: Received: from unknown (HELO mgisgirt.com) (114.253.4.42) ed facendo ricerche su questo ip.
Riguardo l'allegato, invece, rinominandolo come .zip ed unzippandolo si ottiene il file report.18653.pdf.exe. Così come è il mio antivirus Comodo lo blocca in base alla regola della doppia estensione, tacciandolo quindi come Heur.Dual.Extensions che di per sé potrebbe rappresentare anche un falso positivo.
Togliendo le doppie estensioni e rinominandolo, quindi, come report.exe, Comodo Antivirus non sembra rilevare minacce.
Analizzando il file con virus total esso viene riconosciuto da qualche antivirus come un malware generico
