Обнаруженный месяц назад шпионский троян Crisis (Morcut), как выяснилось, не так прост. Первоначальная версия для OS X практически не представляет никакой опасности: зафиксированы лишь считанные случаи заражения (21 заражение по всему миру, на сегодняшний день). Судя по всему, программа использовалась для слежки за конкретными людьми, а не для массовой инфекции, так что обычным пользователям ничего не грозит. Crisis отслеживает текст из IM-приложений и Skype, снимает видео и звук с веб-камеры и микрофона, регистрирует нажатия клавиш, сохраняет содержимое буфера обмена, информацию из ежедневника и адресной книги, посещённые URL и так далее.
Сейчас компания Symantec осуществила анализ версии Crisis под Windows. Оказывается, на этой платформе зловред демонстрирует две дополнительные функции, которые отсутствуют в версии для OS X: копирование на Windows Mobile и в виртуальные машины VMware.
W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware и, если находит, добавляет туда свою копию с помощью VMware Player.
Другими словами, Crisis не использует никаких уязвимостей VMware, а пользуется стандартной функцией любых виртуальных машин, позволяющих манипуляции с файлами образа.
Исследователи Symantec считают, что Crisis может быть первым вирусом, который пытается распространяться через виртуальные машины. Многие вирусы, наоборот, стремятся скрыться от виртуального окружения, чтобы избежать анализа.
Symantec классифицирует версию трояна под Windows как W32.Crisis, а JAR-контейнер, в котором распространяются версии под Windows и Mac, — как Trojan.Maljava.
