На днях мы обнаружили уже третью модификацию червя Email-Worm.Win32.Monikey. Казалось бы, ничего нового и интересного в нем нет. Размножается путем рассылки писем с заголовком «Открытка с POSTCARD.RU». В теле письма под видом ссылки на POSTCARD.RU содержатся ссылки на взломанные сайты, с которых происходит установка на компьютеры пользователей вредоносных программ.
Но один момент все-таки заслужил внимание наших вирусных аналитиков. Email-Worm.Win32.Monikey содержит в себе модификации Trojan-PSW.Win32.Vipgsm и Trojan-PSW.Win32.LdPinch.
О чем это говорит? Это лишний раз подтверждает наши подозрения, что LdPinch, Bagle, Monikey и Vipgsm созданы одной группой (про то, что LdPinch и Bagle созданы одной группой, мы уже писали). Но до настоящего времени мы не были так уверены (хотя и подозревали), что Vipgsm и Monikey также являются их творениями. Да, Email-Worm.Win32.Monikey содержит код, практически идентичный почтовому червю Email-Worm.Win32.Bagle, но до этого момента мы считали, что этот червь был написан на основании исходных текстов Bagle, которые по нашему предположению могли появиться в интернете.
В пользу озвученной здесь новой версии говорит и тот факт, что почти все вложенные вредоносные программы зашифрованы «фирменным» алгоритмом от Trojan-PSW.Win32.LdPinch. Стоит отметить, что появление данного Email-Worm.Win32.Monikey пришлось на момент резкой активизации авторов Bagle после летнего отдыха.
Все это позволяет нам укрепить наши подозрения в том, что одни и те же люди разрабатывают целые семейства вредоносных программ. Также подтверждаются наши прогнозы, что авторы Bagle продолжать осваивать новые технологии для увеличения эффективности своих творений.
Заметим, что все вредоносные программы со взломанных сайтов уже удалены, на ряде сайтов присутствуют извинения и упоминания, что они не проводили никаких подобных рассылок. Но нам до конца не ясно, как к ним был получен доступ. Мы предполагаем, что пароли были украдены ранее с помощью программы, аналогичной LdPinch.
Все указанные вредоносные программы уже добавлены в наши обновления.
Monikey — дальнейшее развитие Bagle