Symantec - Троян Crisis может проникнуть в виртуальную среду
Исследователи Symantec опубликовали отчет о более подробном анализе вредоносного приложения.
Около месяца назад компания Intego, специализирующаяся на компьютерной безопасности, сообщила об обнаружении нового червя для Mac, создающего бэкдор на зараженной системе. Также сообщалось, что вирус способен следить за деятельностью пользователя, в том числе отслеживать движения курсора, нажатия клавиш, перехватывать сообщения различных IM-клиентов, осуществлять запись с web-камеры и микрофона, пересылать злоумышленникам данные из буфера обмена, календаря, адресной книги и т.п.
Вредоносное приложение, получившее название Crisis или Morcut, впервые было обнаружено исследователями из VirusTotal в виде JAR-файла, анализ которого показал, что в нем содержатся файл под названием WebEnhancer, а также два инсталлятора для Windows и OS X.
Углубив анализ, исследователи компании Symantec обнаружили, что версия для Windows использует три метода самораспространения: через съемные носители памяти, виртуальные машины VMware и также устройства Windows Mobile.
В отличие от большинства других вредоносных программ, которые самостоятельно удаляются при обнаружении образа виртуализационного ПО VMware на зараженном компьютере, чтобы избежать анализа, Crisis монтирует этот образ и копирует себя в него с помощью VMware Player.
Около месяца назад компания Intego, специализирующаяся на компьютерной безопасности, сообщила об обнаружении нового червя для Mac, создающего бэкдор на зараженной системе. Также сообщалось, что вирус способен следить за деятельностью пользователя, в том числе отслеживать движения курсора, нажатия клавиш, перехватывать сообщения различных IM-клиентов, осуществлять запись с web-камеры и микрофона, пересылать злоумышленникам данные из буфера обмена, календаря, адресной книги и т.п.
Вредоносное приложение, получившее название Crisis или Morcut, впервые было обнаружено исследователями из VirusTotal в виде JAR-файла, анализ которого показал, что в нем содержатся файл под названием WebEnhancer, а также два инсталлятора для Windows и OS X.
Углубив анализ, исследователи компании Symantec обнаружили, что версия для Windows использует три метода самораспространения: через съемные носители памяти, виртуальные машины VMware и также устройства Windows Mobile.
В отличие от большинства других вредоносных программ, которые самостоятельно удаляются при обнаружении образа виртуализационного ПО VMware на зараженном компьютере, чтобы избежать анализа, Crisis монтирует этот образ и копирует себя в него с помощью VMware Player.