Symanteс: W32.Crisis способен заражать виртуальные машины

SymantecОбнаруженный месяц назад шпионский троян Crisis (Morcut), оказался очень интересной находкой для специалистов по информационной безопасности. Первоначальная версия для OS X практически не представляет никакой опасности, а зафиксированные единичные случаи заражения (21 заражение по всему миру, на сегодняшний день), можно считать просто случайностью. Судя по всему, программа использовалась для слежки за конкретными людьми, а не для массовой инфекции, так что обычным пользователям ничего не грозит.

Троян Crisis способен:

  • отслеживать текст из IM-приложений и Skype;
  • снимать видео и звук с веб-камеры и микрофона;
  • регистрировать нажатия клавиш;
  • сохранять содержимое буфера обмена;
  • сохранять информацию из ежедневника и адресной книги, посещённые URL и так далее.


Теперь компания Symantec осуществила анализ версии Crisis под Windows. Оказывается, на этой платформе зловред демонстрирует две дополнительные функции, отсутствующие в версии для OS X:

  • копирование на Windows Mobile;
  • копирование в виртуальные машины VMware.


W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware и при обнаружении добавляет туда свою копию с помощью VMware Player.

W32

Другими словами, Crisis не использует никаких уязвимостей VMware, а пользуется стандартной функцией любых виртуальных машин, позволяющих манипуляции с файлами образа.

Исследователи Symantec считают, что Crisis может быть первым вирусом, пытающимся распространяться через виртуальные машины. Многие вирусы, наоборот, стремятся скрыться от виртуального окружения, чтобы избежать анализа.

Symantec классифицирует версию трояна

  • под Windows - W32.Crisis;
  • JAR-контейнер, в котором распространяются версии под Windows и Mac — как Trojan.Maljava.

Обновлено (23.08.2012 00:18)