Троян Crisis может проникнуть в виртуальную среду

Обнаруженный месяц назад троян Crisis (Morcut), как выяснилось, не так прост. Первоначальная версия для OS X практически не представляет никакой опасности: зафиксированы лишь считанные случаи заражения (21 заражение по всему миру, на сегодняшний день). Судя по всему, программа использовалась для слежки за конкретными людьми, а не для массовой инфекции, так что обычным пользователям ничего не грозит. Crisis отслеживает текст из IM-приложений и Skype, снимает видео и звук с веб-камеры и микрофона, регистрирует нажатия клавиш, сохраняет содержимое буфера обмена, информацию из ежедневника и адресной книги, посещённые URL и так далее.

Сейчас компания Symantec осуществила анализ версии Crisis под Windows. Оказывается, на этой платформе зловред демонстрирует две дополнительные функции, которые отсутствуют в версии для OS X: копирование на Windows Mobile и в виртуальные машины VMware.

W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware и, если находит, добавляет туда свою копию с помощью VMware Player. Другими словами, Crisis не использует никаких уязвимостей VMware, а пользуется стандартной функцией любых виртуальных машин, позволяющих манипуляции с файлами образа.

Исследователи Symantec считают, что Crisis может быть первым вирусом, который пытается распространяться через виртуальные машины. Многие вирусы, наоборот, стремятся скрыться от виртуального окружения, чтобы избежать анализа.

Троян Crisis или Morcut, впервые был обнаружен исследователями из VirusTotal в виде JAR-файла, анализ которого показал, что в нем содержатся файл под названием WebEnhancer, а также два инсталлятора для Windows и OS X.