W32.Crisis способен заражать виртуальные машины Обнаруженный месяц назад шпионский троян Crisis (Morcut), как выяснилось, не так прост. Первоначальная версия для OS X практически не представляет никакой опасности: зафиксированы лишь считанные случаи заражения (21 заражение по всему миру, на сегодняшний день). Судя по всему, программа использовалась для слежки за конкретными людьми, а не для массовой инфекции, так что обычным пользователям ничего не грозит. Crisis отслеживает текст из IM-приложений и Skype, снимает видео и звук с веб-камеры и микрофона, регистрирует нажатия клавиш, сохраняет содержимое буфера обмена, информацию из ежедневника и адресной книги, посещённые URL и так далее. Сейчас компания Symantec осуществила анализ версии Crisis под Windows. Оказывается, на этой платформе зловред демонстрирует две дополнительные функции, которые отсутствуют в версии для OS X: копирование на Windows Mobile и в виртуальные машины VMware. W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware и, если находит, добавляет туда свою копию с помощью VMware Player. Другими словами, Crisis не использует никаких уязвимостей VMware, а пользуется стандартной функцией любых виртуальных машин, позволяющих манипуляции с файлами образа. Исследователи Symantec считают, что Crisis может быть первым вирусом, который пытается распространяться через виртуальные машины. Многие вирусы, наоборот, стремятся скрыться от виртуального окружения, чтобы избежать анализа. Symantec классифицирует версию трояна под Windows как W32.Crisis, а JAR-контейнер, в котором распространяются версии под Windows и Mac, — как Trojan.Maljava. 22.08.2012 http://www.xakep.ru/post/59199/ http://www.symantec.com/connect/blogs/crisis-windows-sneaks-virtual-machines
Symantec обращает внимание на новый опасный код Crisis Антивирусные эксперты из компании Symantec говорят, что обнаружили новый шпионский вредоносный код, способный заражать все наиболее популярные операционные системы, в том числе Windows и Mac OS X, а также мобильные устройства под Windows Mobile и Windows Embedded (но не Windows Phone) и даже виртуальные машины VMware. В Symantec говорят, что новый вредоносный код, получивший название Crisis, является "братом-близнецом" кода Morcut, обнаруженного в июле и атаковавшего только Windows-системы. Crisis получил более универсальные возможности по атаке компьютеров, а также большую "всеядность" в плане ОС. При попадании на компьютер пользователя вредоносный код способен перехватывать электронную почту и мгновенные сообщения, делая это независимо от клиентского программного обеспечения, так как вредонос напрямую слушает системные порты, а также способно перехватывать данные с микрофона и веб-камеры компьютера. Сам по себе Crisis прячется в JAR-архив и прикидывается инсталлятором Flash Player, что позволяет ему потенциально стать привлекательным для множества пользователей. Такаши Кацуки, антивирусный эксперт Symantec, говорит, что на его памяти Crisis - это первый код, способный поражать столь значительное число платформ сразу, затрагивая даже виртуальные машины. По его словам, до сих пор вредоносные коды, направленные на виртуализаторы, представляли собой относительно небольшую группу вредоносов. "Как таковой, вредонос Crisis даже не использует какие-то уязвимости в VMware. Он использует общие особенности всех программ для виртуализации и может манипулировать файлами и даже монитрировать тома в системе", - говорит Кацуки. Впрочем, пока Crisis не слишком распространен. Symantec полагает, что общее количество заражений колеблется в районе сотни, однако учитывая его всеядность и возможность бэкдорить коммуникации в Skype, Adium, MSN Messenger и других приложениях, скорее всего, его популярность в будущем резко возрастет. (04:05) 22.08.2012 http://cybersecurity.ru/crypto/158078.html