Ny malware kan sprede sig fra Windows til en virtuel VMware-maskine

6 kommentarer.  Hop til debatten
En ny familie af malware kan sprede sig ikke bare til både Mac og Windows; den er også i stand til at sprede sig fra Windows til en virtuel maskine.
person
23. august 2012 kl. 15:11
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Normalt plejer ondsindede programmer, malware, at holde særdeles lav profil, hvis der er en virtuel maskine i nærheden, for det kan betyde, at antivirusfirmaer forsøger at analysere malwaren.

Det er imidlertid ikke tilfældet for en ny familie af malware, som sikkerhedsfirmaet Symantec har døbt Crisis.

Crisis kan nemlig sprede sig til virtuelle VMware-maskiner, skriver Symantecs Takashi Katsuki i et blogindlæg.

Crisis blev først fundet til Mac OSX og siden til Windows. Det er med andre ord én af de seneste familier af malware, som er i stand til at angribe flere platforme. Ifølge sikkerhedsfirmaet Kaspersky spreder Crisis sig via en pakket JAR-fil, som brugeren lokkes til at downloade og køre.

Artiklen fortsætter efter annoncen

På Windows opfører Crisis sig dog mere avanceret end på Mac ifølge Symantec. Den kan nemlig undersøge, om der findes virtuelle VMware-maskiner på den inficerede pc. Den er i så fald i stand til at indsætte sin payload i den virtuelle maskine.

Ifølge Symantec er Crisis desuden i stand til at inficere Microsofts gamle mobilstyresystem Windows Mobile.

6 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
Maxx Frøstrup
24. august 2012 kl. 16:10

Hey folkens Hurtigt fredags spørgsmål: Jeg kan ikke se noget nyt i du får Vira på din windows som kan sprede sig til din WmWare. Nu bruger jeg dog ofte en sammensætning af windows + WmWare (Ubuntu) til de stakler som aldrig lære at holde deres windows rene eller bare at holde sig fra suspekte hjemmesider. De får en WmWare med nyeste ubuntu som de så bare slår sig løs i og skrive adgangen mellem WM og host er selvsagt slået fra for at mindske ubuntu -> Host system adgangen mest muligt.

Som jeg forstår dette er det en futile effort? Eller er det stadig i den nogenlunde klasse.

Ja jeg ved godt det ikke dækker 100%, men jeg har bare set så mange maskine dø en stille død i pornosidernes medfølgende skidt og skrammel. Og realistisk set er det ikke noget folk lægger fra sig. ej heller er det realistisk at de vender sig til jævnligt at geninstallere OS. WmWare kan de alle forholde sig til og Ubuntu er windows agtig nok til at de kan surfe rundt på de sider der normalt slår dem ihjel.

Men håbløs løsning eller en tjoo når nu de alligevel...? Jeg vil hellere de siger sandheden end jeg graver det frem fra installerede programmer listerne.

  • more_vert
    • insert_linkKopier link
3
Maciej Szeliga
23. august 2012 kl. 19:12

...hvis jeg så kører ESXi så er jeg sikker ?

  • more_vert
    • insert_linkKopier link
4
Thomas Hagedorn
24. august 2012 kl. 09:24

Ja du er sikker på vSphere..

Det er inficering af virtuelle disk images på Mac/windows der er tale om og altså blot en udnyttelse af at det er muligt at mounte .vmdk disks på host OS'et og kopiere data ind på dem..

Det kan enhver gøre med et simpelt script, så altså bare en stor ekstrablads agtig overdrivelse i overskriften..;-)

  • more_vert
    • insert_linkKopier link
1
Christian Münster
23. august 2012 kl. 17:48

Jeg har en dedikeret server med VmWare vSphere/ESXi som styresystem, på den har jeg virtuelle Windows instanser.

  • Jeg forstår det sådan, at dette setup ikke er i fare, eller det kan måske komme ind via vSphere Client?
  • more_vert
    • insert_linkKopier link
2
Mads Bendixen
23. august 2012 kl. 18:09

Som jeg forstår det, så inficerer den host'en (kun en Windows pc ifølge Symantec blog'en) og spreder sig derfra til de virtuelle guests i f.eks. VMware Workstation.

Der er en tegning i den blogindlæg der henvises til.

  • more_vert
    • insert_linkKopier link