赛门铁克发现首个向虚拟机传播的威胁

近日,赛门铁克检测出一种针对Mac系统的新型恶意软件,并将其命名为OSX.Crisis。该恶意软件可以传播到4种不同的环境中:Mac、Windows、虚拟机和Windows Mobile。

值得一提的是,该恶意软件的先进性不仅体现在功能上,还体现在其传播方式上。这一恶意软件可以通过三种途径进行传播:一是将自身以及一个autorun.inf文件拷贝到一个可移动硬盘驱动器中;二是传播到VMware虚拟机中;三是将模块拖放到某个Windows Mobile设备中。

 

 

图1 威胁的传播方

该威胁能够在被感染的计算机上搜索VMware虚拟机映像,如果它发现虚拟机映像,便会加载到该映像中,然后再使用VMware Player工具将自身拷贝到映像中。

 

 

图2 传播到VMware

该威胁没有利用VMware软件自身的漏洞,而是利用了所有虚拟化软件的共同属性,即:虚拟机就是主机磁盘上的一个文件或一系列文件。通常情况下,这些文件可以直接被操作或加载,即使虚拟机并未处于运行状态。

迄今为止,该恶意软件可能是第一种试图向虚拟机进行传播的恶意威胁,因为多数的威胁在发现虚拟机监控应用程序(如VMware)时都会终止自身的进 程,以防止被监测分析到。因此,这可能会是恶意软件制作者的下一个突破点。此外,该恶意软件还可以通过将模块拖放到与被感染计算机连接的Windows Mobile设备上进行传播。

图3向 Windows Mobile设备传播的功能

由于该恶意软件使用的是远程应用程序接口(RAPI),因此其影响范围仅限于Window Mobile设备。Android或iPhone设备目前未受该恶意软件的影响。在得到这些模块的副本后,赛门铁克安全响应中心会对该恶意软件进行更为详细的分析。赛门铁克建议使用诺顿安全产品的用户需要对其病毒库定义进行实时的更新。