您的位置: 网界网 > 新闻 > 正文

赛门铁克:“危机”恶意软件可感染VMware虚拟机

2012年08月22日 10:12:13 | 作者:胡杨编译 | 来源:网界网 | 查看本文手机版

摘要:据杀毒软件厂商赛门铁克的研究人员称,7月份发现的一个Windows版“危机”(Crisis)恶意软件能够感染VMware虚拟机镜像、Windows Mobile设备和可移动USB设备。

标签
虚拟机
移动设备
恶意软件
木马程序
VMware
Crisis病毒

 

【CNW.com.cn独家译稿】据杀毒软件厂商赛门铁克的研究人员称,7月份发现的一个Windows版“危机”(Crisis)恶意软件能够感染VMware虚拟机镜像、Windows Mobile设备和可移动USB设备。

“危机”是一个针对Mac OS和Windows用户的计算机木马程序。这个恶意软件是杀毒软件厂商Intego在7月24日发现的,能够记录Skype通话、捕捉Adium和微软Mac版Messenger等即时消息软件的通讯以及跟踪火狐或Safari浏览器访问的网站。

“危机”是通过社交工程攻击传播的。这种攻击引诱用户运行一个恶意的Java程序。这个程序识别用户的操作系统(Windows或者Mac OS X)并且执行相应的安装程序。

赛门铁克研究人员Takashi Katsuki周一在博客中称,这种恶意软件搜索被感染的计算机上的VMware虚拟机镜像。一旦发现一个镜像,它就爬上这个镜像并且使用VMware Player工具把自己复制到这个镜像。这也许是第一个试图传播到虚拟机的恶意软件。

杀毒软件厂商卡巴斯基实验室的安全研究人员已经证实这个木马程序有这个功能。他们把这个恶意软件称作“Morcut”。

卡巴斯基实验室的恶意软件专家谢尔盖·葛罗凡诺夫(Sergey Golovanov)周二在电子邮件中称,这个功能允许“Morcut”窃取和拦截来自虚拟机的数据,包括用于在线购物的金融信息。

恶意软件作者正在尽最大努力确保他们的木马程序的新变体在发布的时候不被杀毒产品检测出来。

作为回应措施,一些对安全敏感的用户正在从虚拟机上执行在线银行、在线购物和其它敏感的活动。这种做法使他们使用的操作系统不可能在每一次执行这种任务的时候都被恶意软件篡改。

许多恶意软件包含一些惯例,就是禁止自己在虚拟机内部执行。这样做是为了阻止安全研究人员的分析。安全研究人员一般使用虚拟环境观察恶意软件在做什么。

葛罗凡诺夫称,“Morcut”不这样做。它的目标是尽可能进入更多的系统,以便窃取最多的信息。

Katsuki称,这也许是恶意软件作者的下一个飞跃式的进步。

除了感染虚拟机之外,Windows版“危机”还在连接到被感染的系统的Windows Mobile设备上安装流氓模块。

然而,赛门铁克研究人员目前还不知道这些模块是什么。Katsuki称,我们目前没有这些模块的副本。我们正在寻找这些副本以便进行更详细的分析。

目前,“危机/Morcut”恶意软件感染的计算机数量还不是很高。葛罗凡诺夫称,卡巴斯基实验室已经在意大利、墨西哥、伊朗、土耳其、伊拉克、阿曼、巴西,哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等国家发行了21个受害者。这个数字不包括其它厂商在自己的系统中发现的受害者。

Intego的安全研究人员以前曾表示,“危机”的一段代码表明这个恶意软件与一家名为HackingTeam的意大利公司开发的一个商业性木马程序有关。这个木马程序已经授权给执法和情报机构用于监视目的。

感染的数量少和分布的地理范围广可能表示这个恶意软件用于有针对性的攻击,而不是广泛的攻击。(编译/胡杨)

 

[责任编辑:文山 wen_shan@cnw.com.cn]