Symantec: Шпионская программа Crisis копирует SSID и RSSI

SymantecКомпанией Symantec была опубликована очередная статья с новыми результатами анализа уникальной шпионской программы под названием Crisis. Эту программу обнаружили в июле 2012 года, и она сразу привлекла внимание антивирусных экспертов.

Crisis поражает пользователей Windows и Mac OS через Java-апплет, а также устройства Windows Mobile. После установки программа

  • отслеживает текст из IM-приложений и Skype;
  • снимает видео и звук с веб-камеры и микрофона;
  • регистрирует нажатия клавиш;
  • сохраняет содержимое буфера обмена;
  • сохраняет информацию из ежедневника и адресной книги, посещённые URL и так далее.


Вредоносная программа W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware, и при обнаружении таковых, добавляет туда свою копию с помощью VMware Player. Таким образом, это чуть ли не первый вирус, способный распространяться через виртуальные машины.

Программу Crisis использовали для таргетированных атак с целью шпионажа. Зарегистрировано очень малое количество заражений, в основном, это журналисты.

В новой части анализа вредоносного ПО специалисты Symantec сообщили об ещё одной функции этой программы - она пытается определить физическое местоположение жертвы путём копирования информации о SSID WiFI и мощности сигнала RSSI (Received signal strength indication). Таким образом, координаты заражённого компьютера можно определить с точностью до 10 метров.

К тому же, по не подтвержденным данным, при анализе кода шпионской программы, исследователи Symantec обнаружили в инсталляторе, якобы имя одного из разработчиков.


Обновлено (04.12.2012 05:22)