虛擬機器安全性遭到挑戰,日前,賽門鐵克(Symantec)偵測到一款新的木馬程式Crisis,具備攻擊Mac、Windows、Windows mobile、及VMware等平台的能力,這也是資安公司第一次發現可以感染虛擬機器的惡意程式。
許多惡意程式發現如VMware的虛擬機器時,就會為了避免被分析而停止執行,因此,Crisis可被視為是惡意程式發展的另一個突破。它會在受感染電腦裡,搜尋VMware虛擬機器的影像檔案,一旦找到一個影像檔,該惡意程式就會透過VMware Player工具自我複製到該影像檔上。
其實,安全公司Integro早在7/24便已偵測到Crisis,不過當時僅定義為鎖定Mac平台的木馬程式,之後Symantec持續追蹤,發現其威脅性比原先所描述的更大。
當電腦感染Crisis病毒後,Crisis會先在電腦中安裝一個JAR檔(Symantec定義為Trojan.Maljava),此JAR檔包含兩個執行檔案OSX.Crisis、W32.Crisis,可分別安裝在Mac及Windows平台上,一旦確認受感染電腦使用的作業系統後,就會安裝相對應的執行檔,進而建立後門竊取電腦上的資料,像是記錄Skype對話、即時通訊Adium、Microsoft Messenger for Mac和瀏覽器Firefox、Safari的流量。
Symantec指出,Crisis可以透過三種方式進行散布,包括自我複製並產生一個autorun.inf檔案到可攜式硬碟、潛入VMware虛擬機器,以及將模組丟入Windows Mobile行動裝置。
根據目前的分析,Crisis會感染的行動裝置只有Windows平台,並沒有鎖定Android或iPhone裝置,另外,Crisis也不是利用VMware軟體本身的弱點進行散播,而是使用所有虛擬軟體的共同特性,因為虛擬機器只在本機磁碟中的一個或是一系列的檔案,而且即使在虛擬機器不運作時,這些檔案也可以被手動操作或新增。
Crisis是首款被發現試圖感染虛擬機器的惡意程式,因此,VMware也在8/22於官方部落格上發布,Crisis可能會對在Windows平台上執行VMware Workstation或VMware Player虛擬機器的用戶造成威脅,為了降低被Crisis感染的風險,VMware建議其用戶,避免造訪不安全的網站、不要開啟來自網站中不受信任的檔案、安裝防毒軟體並持續更新,以及讓Windows隨時更新到最新狀態。
此外,VMware還指出,Crisis無法感染受加密的虛擬機器,因此可透過加密技術防止Crisis的攻擊,比如VMware Workstation就提供了加密的功能,另外,也可以考慮使用其他廠商提供的全硬碟加密技術以保護虛擬機器。