Po przeanalizowaniu próbek VBKlip, specjaliści CERT Polska wyodrębnili dwie aktywne grupy wirusa. Pierwsza napisana została w .NET i jest dystrybuowana w formie udającej aktualizacje popularnych programów – Adobe Flash Player, Facebook Chat czy Java. Druga grupa, stworzona w Visual Basic 6, wymaga większej aktywności ze strony cyberprzestępców. Wysyłają oni wiadomości e-mail do sprzedawców Allegro, które sugerują, że w załączniku znajdują się zdjęcia reklamowanego przedmiotu. E-maile są rozsyłane także do firm, a do załącznika wrzucana jest fałszywa faktura.
Twórcy wirusa najprawdopodobniej znają język polski, o czym świadczą choćby nazwy plików wykonywalnych, w których znajdowało się złośliwe oprogramowanie. W ostatnich dniach w sieci pojawiły się nowe próbki VBKlip. Wirus jest zatem wciąż niezwykle popularny.
Źródło: CERT Polska