https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

首款可感染VMware惡意程式 Crisis挑戰虛擬機器安全

2012 / 08 / 27
編輯部
首款可感染VMware惡意程式 Crisis挑戰虛擬機器安全

虛擬機器安全性遭到挑戰,日前,賽門鐵克(Symantec)偵測到一款新的木馬程式Crisis,具備攻擊MacWindowsWindows mobile、及VMware等平台的能力,這也是資安公司第一次發現可以感染虛擬機器的惡意程式。

 

許多惡意程式發現如VMware的虛擬機器時,就會為了避免被分析而停止執行,因此,Crisis可被視為是惡意程式發展的另一個突破。它會在受感染電腦裡,搜尋VMware虛擬機器的影像檔案,一旦找到一個影像檔,該惡意程式就會透過VMware Player工具自我複製到該影像檔上。

 

其實,安全公司Integro早在7/24便已偵測到Crisis,不過當時僅定義為鎖定Mac平台的木馬程式,之後Symantec持續追蹤,發現其威脅性比原先所描述的更大。

 

當電腦感染Crisis病毒後,Crisis會先在電腦中安裝一個JAR檔(Symantec定義為Trojan.Maljava),此JAR檔包含兩個執行檔案OSX.CrisisW32.Crisis,可分別安裝在MacWindows平台上,一旦確認受感染電腦使用的作業系統後,就會安裝相對應的執行檔,進而建立後門竊取電腦上的資料,像是記錄Skype對話、即時通訊AdiumMicrosoft Messenger for Mac和瀏覽器FirefoxSafari的流量。

 

Symantec指出,Crisis可以透過三種方式進行散布,包括自我複製並產生一個autorun.inf檔案到可攜式硬碟、潛入VMware虛擬機器,以及將模組丟入Windows Mobile行動裝置。

 

根據目前的分析,Crisis會感染的行動裝置只有Windows平台,並沒有鎖定AndroidiPhone裝置,另外,Crisis也不是利用VMware軟體本身的弱點進行散播,而是使用所有虛擬軟體的共同特性,因為虛擬機器只在本機磁碟中的一個或是一系列的檔案,而且即使在虛擬機器不運作時,這些檔案也可以被手動操作或新增。

 

Crisis是首款被發現試圖感染虛擬機器的惡意程式,因此,VMware也在8/22於官方部落格上發布,Crisis可能會對在Windows平台上執行VMware WorkstationVMware Player虛擬機器的用戶造成威脅,為了降低被Crisis感染的風險,VMware建議其用戶,避免造訪不安全的網站、不要開啟來自網站中不受信任的檔案、安裝防毒軟體並持續更新,以及讓Windows隨時更新到最新狀態。

 

此外,VMware還指出,Crisis無法感染受加密的虛擬機器,因此可透過加密技術防止Crisis的攻擊,比如VMware Workstation就提供了加密的功能,另外,也可以考慮使用其他廠商提供的全硬碟加密技術以保護虛擬機器。