Scam-mail till synes från elgigantens domän

Inser att det inte är Elgiganten som mailet kommer från, men är nyfiken på dess ursprung. Ska ta en titt och se om jag kan luska ut något.
Lade till virustotal i OP. Den här delen (även den här) tyckte jag var väldigt intressant. Nu är jag sugen på att dra upp en kontrollerad miljö och se vad som försigår.

EDIT: Hittade Received: from d28-74.icpnet.pl (d28-74.icpnet.pl [77.65.28.74]) i headers, så där fick jag mitt svar på vem. Nu är det bara vad vet gör som jag inte vet.

Håller på att sätta upp W2G för att få en kontrollerad miljö på min laptop. Återkommer med eventuella resultat.

Jag ser inte någon i den här tråden som tror att mailet faktiskt kommer från elgiganten. Har dock förtydligat rubriken nu så att så få missförstånd som möjligt ska kunna uppstå.

Fyller på det här inlägget efter hand.

Har en kontrollerad Windowsmiljö på min laptop nu. Första försöket att starta exen rakt av utan någon uppkoppling gav inte mycket till resultat. Nästa steg är att testa att sätta upp en lokal webbserver och servera de önskade filerna eller några andra med samma namn.

Försök två var mer lyckat. Med en modifierad hosts-fil, en lokal webbserver och en fejkad calc.exe kördes programmet till fullo, laddade ner två exemplar (kan vara olika om den får tillgång till rätt servrar, ska undersöka vidare) av calc.exe till %localappdata%\Temp och gav dessa namnen news.exe och news3.exe. news.exe kallades från mappen som beställning_16.04.15.exe låg i. Den stora hemligheten ligger alltså i de två calc.exe som ska hämtas från två riktiga webbservrar. Ingen output till konsollen från beställning_16.04.15.exe.

Efter att ha kört många gånger på samma sätt dök news4.exe upp. Även den var en omdöpt calc.exe.

Jag testade de två domänerna i hostsfilen en och en, och så länge en av dem fanns tillgänglig dök både news.exe och news3.exe upp. Det är alltså ingen skillnad mellan dem även om rätt webbservrar tillhandahålls. Jag ska nu koppla upp datorn mot internet utanför LAN och brandvägg för att ladda ner de två calc.exe och experimentera med.

Webbservrarnas IP-adresser överensstämde med vad Virustotal sade. Båda svarade dessutom på ping. Det var däremot bara den ena som hade calc.exe på det hänvisade stället. Den andra returnerade ett 404 vid förfrågan.

Jag laddade upp calc.exe till Virustotal. Här är resultatet. https://www.virustotal.com/sv/file/0b41ce8f6a630fa24f35251007... (Notera att fler antivirus reagerar på den här filen än som reagerar på en fil som hämtar OCH KÖR den här filen...)
IPn till domänen som slogs upp svarade inte på ping och hostade ingen webbserver. Jag är inte säker på vad den är till för. UDP-anslutningen över :123 vet jag inte heller vad den gör eller hur jag kan ta reda på det. Nu blir det till att köra hela programmet och se vad calc.exe faktiskt gör. Baserat på Virustotal gissar jag på någon form av toolbar i IE.

Vid körning av calc.exe rakt av får jag erroret "Det här programmet kan endast köras med en appbehållare.". Vet inte riktigt hur jag ska tolka det.

calc.exe innehöll likt den ursprungliga exen kompilerad kod och lite bilder. Inget intressant där. Dags att köra hela skiten och se vad som händer.

Absolut ingenting uppenbart hände när jag körde alltihop. Antingen är det något lömskt som jag inte kan lista ut eller så fungerar inte programmet som det ska längre. Min lilla utredning avslutas här.

Trevligt att det kunde underhålla någon mer än mig själv.