首種針對虛擬機的惡意軟件被發(fā)現(xiàn)。
近日,賽門鐵克檢測出一種針對Mac系統(tǒng)的新型惡意軟件,并將其命名為OSX.Crisis。該惡意軟件可以傳播到4種不同的環(huán)境中:Mac、Windows、虛擬機和Windows Mobile。
值得一提的是,該惡意軟件的先進性不僅體現(xiàn)在功能上,還體現(xiàn)在其傳播方式上。這一惡意軟件可以通過三種途徑進行傳播:一是將自身以及一個autorun.inf文件拷貝到一個可移動硬盤驅(qū)動器中;二是傳播到VMware虛擬機中;三是將模塊拖放到某個Windows Mobile設(shè)備中。
圖1 威脅的傳播方
該威脅能夠在被感染的計算機上搜索VMware虛擬機映像,如果它發(fā)現(xiàn)虛擬機映像,便會加載到該映像中,然后再使用VMware Player工具將自身拷貝到映像中。
圖2 傳播到VMware
該威脅沒有利用VMware軟件自身的漏洞,而是利用了所有虛擬化軟件的共同屬性,即:虛擬機就是主機磁盤上的一個文件或一系列文件。通常情況下,這些文件可以直接被操作或加載,即使虛擬機并未處于運行狀態(tài)。
迄今為止,該惡意軟件可能是第一種試圖向虛擬機進行傳播的惡意威脅,因為多數(shù)的威脅在發(fā)現(xiàn)虛擬機監(jiān)控應用程序(如VMware)時都會終止自身的進 程,以防止被監(jiān)測分析到。因此,這可能會是惡意軟件制作者的下一個突破點。此外,該惡意軟件還可以通過將模塊拖放到與被感染計算機連接的Windows Mobile設(shè)備上進行傳播。
圖3 向Windows Mobile設(shè)備傳播的功能
由于該惡意軟件使用的是遠程應用程序接口(RAPI),因此其影響范圍僅限于Window Mobile設(shè)備。Android或iPhone設(shè)備目前未受該惡意軟件的影響。在得到這些模塊的副本后,賽門鐵克安全響應中心會對該惡意軟件進行更為詳細的分析。賽門鐵克建議使用諾頓安全產(chǎn)品的用戶需要對其病毒庫定義進行實時的更新。
京公網(wǎng)安備 11010502049343號