Ага! Уже есть кое-что интересное! Адрес 85.62.90.20 никак не связан с узлом www.virustotal.com и входит в совершенно другую подсеть, впрочем, также принадлежащую испанскому провайдеру. Учитывая тот факт, что 85.62.90.20 не отвечает на запросы, не имеет доменного имени и в качестве почтового сервера использует внешнюю почтовую службу inc.wanadoo.es, мы с 99% вероятностью можем предположить, что это proxy-сервер (squid/2.6.STABLE17) организации, обслуживающей www.virustotal.com.

А что на счет адреса 81.26.151.146? И вот тут нас ждет неожиданный, но очень приятный сюрприз (см. листинг 9):

Листинг 9. Информация об узле 81.26.151.146

Hostname:        msk-gw.drweb.com

IP:              81.26.151.146

Preferable MX:   mx.drweb.com

Network Information:    NAUKANET

Network Range:          81.26.151.0 - 81.26.151.255

Owner:                  Moscow

Location:               OOO Nauka-Svyaz,3ya ulitsa Yamskogo Polia,125124 Moscow,Russia

Contact Information:    Vadim Vakhrushin, noc@naukanet.ru,

                        +7 495 5029092, +7 495 9373412, Vladimir Schedrin,

                        noc@naukanet.ru, +7 495 5029092, +7 495 9373412

Выходит, что сотрудники virustotal используют Dr.Web в качестве «магистрального» почтового сервера, точнее, его использует их провайдер, чем и объясняется столь длительное время проверки такого короткого письма (узлы провайдера обычно довольно сильно загружены). Как уже говорилось выше, данный узел содержит уязвимость, приводящую к возможности выполнения удаленного кода, а значит, мы можем захватить контроль не только над перепиской компании-разработчика virustotal, но и многих других фирм. И все это мы выяснили всего за несколько минут, обладая минимальными познаниями и хакерскими навыками!