Crisis infekuje wirtualne maszyny VMware
- Antoni Steliński,
- 22.08.2012, godz. 11:05
Windowsowa wersja odkrytego w lipcu złośliwego oprogramowania o nazwie Crisis, potrafi infekować maszyny wirtualne VMware, urządzenia pracujące pod systemem Windows Mobile a także napędy USB.
Polecamy:
Podstawową metodą dystrybuowania Crisisa są ataki wykorzystujące inżynierię społeczną - autorzy złośliwego oprogramowania próbują na kilka różnych sposobów nakłonić użytkownika do uruchomienia złośliwego apletu Java.
Zobacz również:
"Po zainfekowaniu systemu Crisis zaczyna szukać na lokalnych dyskach obrazów wirtualnych maszyn VMware - jeśli je znajdzie, umieszcza w nich swoją kopię, wykorzystując do tego aplikację VMware Player. Wydaje mi się, że to pierwszy w historii złośliwy program, wyposażony w taką funkcję" - napisał w firmowym blogu Takashi Katsuki, specjalista z Symanteca.
Istnienie takiej funkcji Crisisa potwierdzili już pracownicy rosyjskiej firmy Kaspersky Lab, która również analizowała nowego szkodnika (aczkolwiek oni nazywają go Morcut). "Dzięki temu przestępcy mogą wykorzystać go do przechwytywania danych z wirtualnej maszyny" - wyjaśnił Sergey Golovanov z Kaspersky Lab.
Warto też dodać, że wiele złośliwych programów jest napisanych tak, by nie dało się ich uruchomić w wirtualnej maszynie - ich autorzy stosują tę sztuczkę, by utrudnić specjalistom ds. bezpieczeństwa analizowanie wirusów czy trojanów.
Nowy szkodnik działa zupełnie inaczej, bo stara się zainfekować jak najwięcej systemów - w tym również Windows Mobile (Crisis instaluje się na urządzeniach mobilnych z tym systemem, gdy zostaną podłączone do zainfekowanego komputera). Niestety, specjaliści ds. bezpieczeństwa nie ustalili jeszcze, jakie dokładnie działania złośliwy program podejmuje w Windows Mobile.
Na razie liczba infekcji Crisisem jest niewielka - w sumie wykryto tylko kilkadziesiąt takich przypadków, głównie w Europie, Azji oraz Ameryce Środkowej i Południowej. Specjaliści sądzą, że na razie przestępcy wykorzystują szkodnika głównie do starannie zaplanowanych, pojedynczych ataków - niewykluczone jest jednak, że w przyszłości zechcą go wykorzystać na szerszą skalę. Możliwe również, że ataków już teraz jest więcej - prawdopodobnie nie wszystkie aplikacje antywirusowe są w stanie poprawnie wykrywać i identyfikować Crisisa/Morcuta.