Le malware Crisis a d'abord fait parler de lui en ciblant les ordinateurs Mac ( voir notre actualité ) avec ses capacités d'interception d'emails et messages instantanés, de traçage des sites Web consultés.

Diffusé par le biais d'un prétendu installeur Flash Player, Crisis dispose en réalité d'un spectre d'infection bien plus large que le Mac. L'installeur est une archive Java ( fichier JAR ) et peut également infecter des machines Windows.

Le fichier JAR contient en fait deux fichiers exécutables, pour OS X et Windows. En fonction de la machine cible, c'est le fichier exécutable adéquat qui est lâché. Plus encore, des chercheurs de Symantec ont découvert que Crisis est capable d'infecter des machines virtuelles VMware et des appareils Windows Mobile.

Symantec-propagation-Crisis Crisis n'exploite toutefois pas une vulnérabilité dans VMware. Takashi Katsuki de Symantec explique que Crisis tire parti d'une caractéristique de tous les logiciels de virtualisation : " la machine virtuelle est simplement un fichier ou une série de fichiers sur le disque de la machine hôte. Ces fichiers peuvent être directement manipulés ou montés, même quand la machine virtuelle n'est pas exécutée ".

Pour Symantec, Crisis n'en demeure pas moins le premier malware qui tente de se propager sur une machine virtuelle. Quant à Windows Mobile, Crisis peut lâcher des modules d'attaque sur de tels appareils connectés à des ordinateurs Windows compromis.

L'infection a lieu via la bibliothèque logicielle Remote Application Programming Interface qui permet à des applications exécutées sur l'ordinateur d'opérer des actions sur un appareil Windows Mobile connecté

Les trouvailles de Symantec laissent penser que Crisis est de conception professionnelle. Pour autant, il n'a infecté que très peu de machines.