Компания Symantec опубликовала очередную статью с новыми результатами анализа уникальной шпионской программы под названием Crisis. Эту программу обнаружили в июле 2012 года, и она сразу привлекла внимание антивирусных экспертов.
Crisis поражает пользователей Windows и Mac OS через Java-апплет, а также устройства Windows Mobile. После установки программа отслеживает текст из IM-приложений и Skype, снимает видео и звук с веб-камеры и микрофона, регистрирует нажатия клавиш, сохраняет содержимое буфера обмена, информацию из ежедневника и адресной книги, посещённые URL и так далее. Вредоносная программа W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware и, если находит, добавляет туда свою копию с помощью VMware Player. Таким образом, это чуть ли не первый вирус, способный распространяться через виртуальные машины.
Программу Crisis использовали для таргетированных атак с целью шпионажа. Зарегистрировано очень малое количество заражений, в основном, это журналисты.
В новой части анализа вредоносного ПО специалисты Symantec сообщили об ещё одной функции этой программы: она пытается определить физическое местоположение жертвы путём копирования информации о SSID WiFI и мощности сигнала RSSI (Received signal strength indication). Таким образом, координаты заражённого компьютера можно определить с точностью до 10 метров.
Анализируя код шпионской программы, исследователей Symantec ждал приятный сюрприз: в инсталляторе сохранилось имя одного из разработчиков. Впрочем, достоверность этой информации ещё не подтверждена.