Троян Crisis способен заражать виртуальные машины

Месяц назад был обнаружен шпионский троян Crisis (Morcut), его первоначальная версия для OS X практически не представляет никакой опасности: зафиксированы лишь считанные случаи заражения (21 заражение по всему миру, на сегодняшний день). Судя по всему, программа использовалась для слежки за конкретными людьми, а не для массовой инфекции, так что обычным пользователям ничего не грозит. Crisis отслеживает текст из IM-приложений и Skype, снимает видео и звук с веб-камеры и микрофона, регистрирует нажатия клавиш, сохраняет содержимое буфера обмена, информацию из ежедневника и адресной книги, посещённые URL и так далее.
Позже компания Symantec осуществила анализ обнаруженой версии Crisis под Windows. Оказывается, в версии для этой платформы имеются дополнительные функции, которые отсутствуют в версии для OS X: копирование на Windows Mobile и в виртуальные машины VMware.
W32.Crisis ищет на заражённом компьютере образы виртуальных машин VMware и, если находит, добавляет туда свою копию с помощью VMware Player.
Crisis не использует никаких уязвимостей VMware, а пользуется стандартной функцией любых виртуальных машин, позволяющих производить манипуляции с файлами образа.
Исследователи Symantec считают, что Crisis может быть первым образцом, который пытается распространяться через виртуальные машины.
Symantec классифицирует версию трояна под Windows как W32.Crisis, а JAR-контейнер, в котором распространяются версии под Windows и Mac, — как Trojan.Maljava.
Источник: xakep.ru

Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google photo

Для комментария используется ваша учётная запись Google. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s