2012年8月24日 星期五

研究人員首次發現Windows惡意程式感染虛擬機器


研究人員首次發現Windows惡意程式感染虛擬機器


賽門鐵克研究人員表示,Crisis是第一隻能散佈到虛擬機器的惡意程式,因為許多威脅程式在發現諸如VMware等虛擬機器監控應用時就會因害怕被分析而終止,因此這可能是惡意程式作者的一大躍進。

賽門鐵克(Symantec)安全研究人員發現,Windows版的Crisis惡意程式除了可以自我複製到USB外接式硬碟上執行外,還能潛入VMware的虛擬機器(virtual machine)。

賽門鐵克軟體工程師Takashi Katsuki 指出,Crisis會搜尋受害機器上的VMware虛擬機器映像檔,一旦發現,就會新增映像檔,並利用VMware Player工具自我複製到映像檔上。

Katsuki表示,這是第一隻能散佈到虛擬機器的惡意程式,因為許多威脅程式在發現諸如VMware等虛擬機器監控應用時就會因害怕被分析而終止,因此這可能是惡意程式作者的一大躍進。

但安全研究人員解釋,Crisis利用的是所有虛擬化軟體的共同屬性,而不是VMware本身的弱點,因為虛擬機器只是本機磁碟上的一個或一系列檔案,可以被直接手動操作或新增。

除了虛擬機器外,Crisis還可以藉由新增一個軟體模式,以感染連接Windows電腦的Windows Mobile行動裝置上。因為它是利用「遠端應用程式介面」(Remote Application Programming Interface, RAPI),因此只影響到Windows Mobile裝置,而不會感染Android或iOS裝置。

Crisis是安全公司卡巴斯基在七月中所發現的惡意程式,它有Mac OS和Windows版本,會蒐集Skype對話,或是即時通訊程式如Adium及Microsoft Messenger for Mac以及Firefox、Safari的流量。卡巴斯基發現它的感染途徑是利用社交工程技巧,誘騙使用者執行惡意Java Applet。(編譯/林妍溱)

轉載自《iThome》

沒有留言:

張貼留言