Na pierwsze kopie nowej złośliwej aplikacji trafili pod koniec lipca specjaliści z firmy Intego. Później złośliwy kod analizowali m.in. pracownicy Symanteca, którzy ustalili, że Crisis potrafi infekować Windows, Mac OS X, Windows Mobile, obrazy wirtualnych maszyn VMware, a także rozprzestrzeniać się za pośrednictwem nośników USB, rejestrować rozmowy prowadzone przez komunikatory Skype i Adium oraz monitorować strony odwiedzane przez użytkownika (w przeglądarkach Firefox oraz Safari).

Podstawową metodą dystrybuowania Crisisa są ataki wykorzystujące inżynierię społeczną - autorzy złośliwego oprogramowania próbują na kilka różnych sposobów nakłonić użytkownika do uruchomienia złośliwego apletu Java.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

"Po zainfekowaniu systemu Crisis zaczyna szukać na lokalnych dyskach obrazów wirtualnych maszyn VMware - jeśli je znajdzie, umieszcza w nich swoją kopię, wykorzystując do tego aplikację VMware Player. Wydaje mi się, że to pierwszy w historii złośliwy program, wyposażony w taką funkcję" - napisał w firmowym blogu Takashi Katsuki, specjalista z Symanteca.

Istnienie takiej funkcji Crisisa potwierdzili już pracownicy rosyjskiej firmy Kaspersky Lab, która również analizowała nowego szkodnika (aczkolwiek oni nazywają go Morcut). "Dzięki temu przestępcy mogą wykorzystać go do przechwytywania danych z wirtualnej maszyny" - wyjaśnił Sergey Golovanov z Kaspersky Lab.

Warto też dodać, że wiele złośliwych programów jest napisanych tak, by nie dało się ich uruchomić w wirtualnej maszynie - ich autorzy stosują tę sztuczkę, by utrudnić specjalistom ds. bezpieczeństwa analizowanie wirusów czy trojanów.

Nowy szkodnik działa zupełnie inaczej, bo stara się zainfekować jak najwięcej systemów - w tym również Windows Mobile (Crisis instaluje się na urządzeniach mobilnych z tym systemem, gdy zostaną podłączone do zainfekowanego komputera). Niestety, specjaliści ds. bezpieczeństwa nie ustalili jeszcze, jakie dokładnie działania złośliwy program podejmuje w Windows Mobile.

Na razie liczba infekcji Crisisem jest niewielka - w sumie wykryto tylko kilkadziesiąt takich przypadków, głównie w Europie, Azji oraz Ameryce Środkowej i Południowej. Specjaliści sądzą, że na razie przestępcy wykorzystują szkodnika głównie do starannie zaplanowanych, pojedynczych ataków - niewykluczone jest jednak, że w przyszłości zechcą go wykorzystać na szerszą skalę. Możliwe również, że ataków już teraz jest więcej - prawdopodobnie nie wszystkie aplikacje antywirusowe są w stanie poprawnie wykrywać i identyfikować Crisisa/Morcuta.