Trend Micro зафиксировала спам, в котором не сообщалось ни какой информации, но в качестве присоединенного файла был разослан известный PHP-троянец для CMS-систем c99madshell, который был известен с 2008 года. Он позволяет хакеру, который знает пароль от FTP какой-то CMS-системы, установить в неё контрольную панель для удалённого управления.
Загадочность же рассылки в том, что вложенный код практически не может быть исполнен. В классических почтовых клиентах он вообще не запустится. К тому же почту традиционно читают не на серверах, где в почтовом клиенте может быть установлена ассоциация между файлом с расширением PHP и соответствующим интерпретатором, но на персональных компьютерах администраторов, которые взаимодействуют с CMS-системой через веб-интерфейс. Маловероятно исполнение приложенного файла и в веб-почте, где, скорее всего, настроен PHP, но должна быть предусмотрена защита от исполнения PHP-кодов, полученных в письмах. Эксперты Trend Micro в некотором замешательстве, поскольку непонятно на какой именно механизм запуска вредоноса рассчитывали спамеры - по всем расчетам исполнение вредоноса маловероятно. Они же предположили, что спамеры, возможно, разослали данные письма с вложением по ошибке.
Впрочем, можно выдвинуть ещё несколько версий рассылки незапускаемых вредоносов. Например, рассылка была проведена с целью исследования возможностей подобного типа атак - оценить какова вероятность запуска PHP-вредоноса, просто приложенного к письму. Другой версией является конфликт на рынке вредоносного софта для дистанционного управления CMS-системами. В этом случае рассылку сделал конкурент, чтобы подорвать влияние производителей и внести их код в базы данных антивирусных производителей. Версий может быть много, но по прежнему остаётся возможность неизвестной ошибки в каком-то ПО, которая позволит исполнить PHP-код, приложенный к письму.