赛门铁克(Symantec)安全研究人员发现,Windows版的Crisis恶意程序除了可以自我复制到USB外接式硬盘上执行外,还能潜入VMware的虚拟机(virtual machine)。 赛门铁克软件工程师Takashi Katsuki 指出,Crisis会搜索受害机器上的VMware虚拟机映像档,一旦发现,就会新增映像,并利用VMware Player工具自我复制到映像上。 Katsuki表示,这是第一只能散布到虚拟机的恶意程序,因为许多威胁程序在发现诸如VMware等虚拟机监控应用时就会因害怕被分析而终止,因此这可能是恶意程序作者的一大跃进。 但安全研究人员解释,Crisis利用的是所有虚拟化软件的共同属性,而不是VMware本身的弱点,因为虚拟机只是本机磁盘上的一个或一系列档案,可以被直接手动操作或新增。 除了虚拟机外,Crisis还可以借助新增一个软件模式,以感染连接Windows电脑的Windows Mobile移动设备上。因为它是利用远程应用程序接口(Remote Application Programming Interface, RAPI),因此只影响到Windows Mobile设备,而不会感染Android或iOS设备。 图1: 搜索所感染计算机上的VMware镜像,如果发现镜像,则通过VMware Player工具复制到镜像中。

Crisis是安全公司卡巴斯基在七月中所发现的恶意程序,它有Mac OS和Windows版本,会搜集Skype对话,或是实时通讯程序如Adium及Microsoft Messenger for Mac以及Firefox、Safari的流量。卡巴斯基发现它的感染途径是利用社交工程技巧,欺骗用户执行恶意Java Applet。

 

转载文章请注明,转载自:小马's Blog https://www.i0day.com

本文链接: https://www.i0day.com/433.html