Güvenlik araştırmacıları, VMware sanal makinelerini, Mac OS X ve Windows bilgisayarlarını etkileyen bir virüs keşfettiler. Java arşiv dosyası (.jar) olarak ortaya çıkan Crisis zararlısı, kendisini Flash Player Java uygulaması olarak gösteriyor.

.jar dosyası içerisinde Windows ve Mac OS X işletim sistemlerini hedef alan uygulama dosyaları bulunuyor. Zararlı, hangi platformda çalıştığını algılayarak uygun sürümünü devreye sokabiliyor. Zararlı, çalıştığı bilgisayarda kendini gizlemek üzere bir rootkit'i devreye sokuyor ve kullanıcının tüm hareketlerini gözetlemek üzere bir casus yazılım yüklüyor. 176.58.100.37 IP adresine bir arka kapı açan zararlı, makineye uzaktan erişim izni veriyor.

Virüsün Windows sürümü, antivirüs programlarını kapatabiliyor, basılan tuşları kaydedebiliyor, dosya yükleyip gönderebiliyor, ekran görüntüsü alabiliyor, panoyu izleyebiliyor, web kamerasından ve mikrofondan kayıt yapabiliyor ve Firefox, IE, Chrome, MSN, Skype, Google Talk, Yahoo! Messenger yazılımlarını izleyebiliyor.

OS X'de de benzer işler yapabilen virüs, işletim sistemine yönetici hakları olmaksızın da yüklenebiliyor. Ancak bu durumda bazı özellikleri kısıtlanıyor (rootkit yüklemek gibi).

Crisis, taşınabilir disklerde autorun.inf dosyası ile kendini yayıyor ve sanal makinelere sızabiliyor. Virüs, VMWare'deki bir açığı kullanmıyor, ancak sanal makine dosyalarını sanal makine çalışmazken bile değiştirebiliyor. Symantec, bu virüsün bir sanal makineye yayılmaya çalışan ilk zararlı olabileceğini söylüyor. Normalde VMWare'in çalıştığını farkeden zararlılar, incelenme olasılığını ortadan kaldırmak üzere kendilerini kapatıyorlar. Daha farklı davranan bu zararlı ise zararlıların yeni bir aşamaya ulaştığının göstergesi olabilir.