.pifファイル攻撃

私の公式メールアドレスを御存じの方は知っていると思いますが、ある有名?
メール転送サービスを使っています。
今日はそこの管理者らしきメールアドレスから以下のようなメールが届きました。

Dear Valued Member,
According to our terms of services, you will have to confirm your e-mail
by the following link, or your account will be suspended for security
reasons.
http://www.my_address_domain/confirm.php?account=my@address
After following the instructions in the sheet, your account will not be
interrupted and will continue as normal.
Thanks for your attention to this request. We apologize for any
inconvenience.
Sincerely, Mail Abuse Department

うーん、こういうメールが今までこなかったことは無いこともないので、URLを
クリックしてみました。
すると、FireFoxのダウンロードマネージャに
「http://webhosts.yfcdavao.org/Confirmation_Sheet.pif」
という情報が。…慌ててキャンセルして、cygwinのwgetでダウンロードしてみま
した。
PIFとPDFは拡張子が似ているのですが、PIFはMS-DOSアプリの実行のための情報
ファイルのはずが、結構大きいバイナリ。ウィルスは検出されていませんが、限
りなくクロに近いマルウェア(malware)なのではないかと推測します。
調べてみたのですが、.pifを添付するという方法はnetskyで前例がありますが、
巧妙なHTMLメールでフィッシング&.pif攻撃というのはあまり見掛けません。
まあゾンビ化して、同じようなメールを送り散らすとかいう機能かもしれません
が…いずれにせよ削除削除です。
以下、ヘッダ部分を引用しておきます。
Received-SPF: neutral (google.com: 208.36.123.17 is neither permitted
nor denied by best guess record for domain of abuse@my_address_domain)
Received: from megatron.cliu.org (smtp.cliu.org [209.18.48.132])
by spf13.us4.tenso-service.com (Postfix) with ESMTP id 7BC9317F31
for <my@address>; Tue, 24 Oct 2006 17:38:02 +0000 (GMT)
Received: from localhost (localhost [127.0.0.1])
by megatron.cliu.org (Postfix) with ESMTP id 09DED2E97E
for <my@address>; Tue, 24 Oct 2006 13:36:07 -0400 (EDT)
Received: from megatron.cliu.org ([127.0.0.1])
by localhost (megatron.cliu.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 98716-08 for <my@address>;
Tue, 24 Oct 2006 13:36:06 -0400 (EDT)
Received: from my_address_domain (unknown [172.29.65.8])
by megatron.cliu.org (Postfix) with ESMTP id 67B7C2E994
for <my@address>; Tue, 24 Oct 2006 13:31:20 -0400 (EDT)
From: abuse@my_address_domain
To: my@address
Subject: Account Alert
Date: Tue, 24 Oct 2006 13:31:19 -0400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="—-=_NextPart_000_0008_AFF4023C.43B5FF10"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20061024173120.67B7C2E994@megatron.cliu.org>
X-Virus-Scanned: by amavisd-new at cliu.org
This is a multi-part message in MIME format.
------=_NextPart_000_0008_AFF4023C.43B5FF10
Content-Type: text/html;
charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
<html>
<body>
<BR>Dear Valued Member, <BR>
<BR>According to our terms of services, you will have to confirm your
e-mail by the following link, or your account will be suspended for
security reasons.<BR>
<BR><a
href="http://webhosts.yfcdavao.org/Confirmation_Sheet.pif">http://www.my_address_domain/confirm.php?account=my@address</a><BR>
<BR>After following the instructions in the sheet, your account will not
be interrupted and will continue as normal.<BR>
<BR>Thanks for your attention to this request. We apologize for any
inconvenience.<BR>
<BR>Sincerely, Mail Abuse Department<BR>
</body>
</html>