Crisis est le nom d’un maliciel multiplateforme qui attaque plus de systèmes d’exploitation que prévu. Voici comment il fonctionne et comment le reconnaître.
Dans le livre noir des virus, malwares et des menaces informatiques, le nom « Crisis » ne sonne certainement pas nouveau : il s’agit en effet d’un malware découvert il y a quelque temps, destiné à s’attaquer aux défenses des Mac.
On apprend aujourd’hui cependant que Crisis s’est « évolué » et est devenu plus insidieux que prévu : le malware est en fait devenu multiplateforme.
Cela signifie qu’il est capable d’infecter indifféremment plusieurs systèmes d’exploitation, en commençant justement par Mac OS X, puis Windows Mobile et même les machines virtuelles.
Une mutation redoutable, donc, surtout en considérant le fait que certaines finalités poursuivies par ses créateurs ne sont pas encore claires et que son code est relativement complexe.
Le mode d’entrée du malware a été identifié : Crisis propose son téléchargement sous les faux-semblants d’une mise à jour du plugin Adobe Flash Player.
À ce stade, l’installation démarre mais ne concerne pas Flash, mais bien le composant qui « active » Crisis.
Le premier geste du malware est de fouiller le courrier électronique, de mémoriser tout ce qui est tapé sur l’ordinateur ou le smartphone et naturellement sauvegarder aussi l’historique de navigation de l’utilisateur.
Non seulement cela : à l’intérieur de Crisis un fichier autorun.inf a été découvert qui infecte également tous les dispositifs connectés via un port USB à l’appareil déjà touché. Ainsi, la propagation devient très rapide et totalement inconsciente.
Ce qui suscite le plus de curiosité quant au comportement de ce virus est son fonctionnement sur les machines virtuelles : dans ce cas Crisis parvient à agir même sur un système non en exécution. Il attaque en effet uniquement les fichiers, via VMWare Fusion, et donc dans ce cas il n’est pas nécessaire d’exécuter quoi que ce soit.
Crisis représente aujourd’hui une menace concrète à ne pas sous-estimer, mais certainement encore contenue, d’après les informations actuelles.
Soyez le premier à commenter