ماشینهای مجازی، هدف بدافزار Crisis
ارسال شده در تاریخ:27 آگوست 2012

محققان امنیتی بدافزاری را كشف كرده اند كه قادر است در چهار پلتفورم مختلف شامل ویندوز، Mac OS X، ماشین­های مجازی VMware و دستگاه­های Windows Mobile منتشر گردد…

این بدافزار كه Crisis نام گرفته و نخستین بار ماه گذشته توسط شركت امنیتی Integro كشف شده است، در اصل به عنوان یك تروجان مك معرفی شده بود كه قادر است ایمیل­ها و پیام­های فوری را مورد رهگیری قرار دهد و وب سایت­های مشاهده شده را ردیابی نماید. تحقیقات دیگر انجام شده توسط سایمانتك نیز نشان داده است كه این بدافزار هر دو گروه كاربران OSX و ویندوز را با فایل­های اجرایی ساخته شده برای هر دو سیستم عامل مذكور هدف قرار می­دهد.

Crisis با استفاده از تكنیك­های مهندسی اجتماعی منتشر می­شود و كاربران را برای نصب یك فایل JAR كه خود را در قالب یك نصب كننده Adobe Flash جا می­زند، فریب می­دهد. این بدافزار سپس سیستم عامل كامپیوتر را شناسایی كرده و فایل اجرایی مرتبط را نصب می­نماید.

یك محقق سایمانتك اظهار داشت كه ممكن است این نخستین بدافزاری باشد كه بر روی ماشین مجازی منتشر می­گردد. بسیاری از تهدیدات زمانی كه متوجه می­شوند كه بر روی یك برنامه نظارت ماشین مجازی مانند VMware قرار دارند، به اجرای خود پایان می­دهند، در نتیجه ممكن است این یك گام رو به جلو برای بدافزار نویسان باشد.

Crisis با جستجوی یك تصویر ماشین مجازی VMware بر روی سیستم قربانی، منتشر می­گردد. زمانی كه چنین تصویری پیدا می­شود، این بدافزار با استفاده از ابزار VMware Player خود را بر روی آن كپی می­كند كه اجازه می­دهد چندین سیستم عامل بر روی یك كامپیوتر اجرا گردند.

این بدافزار از آسیب پذیری نرم افزار VMware استفاده نمی­كند. بلكه از یك ویژگی در تمامی نرم افزارهای مجازی سازی استفاده می­كند: ماشین مجازی صرفا یك فایل یا یك مجموعه فایل بر روی دیسك سیستم میزبان است. معمولا این فایل­ها می­توانند به طور مستقیم دستكاری شده یا نصب گردند، حتی زمانی كه ماشین مجازی در حال اجرا نیست.

نسخه ویندوزی Crisis همچنین می­تواند از طریق نصب یك ماژول، به دستگاه­های ویندوز موبایل متصل به سیستم قربانی منتشر گردد. اما از آنجایی كه این بدافزار از Remote Application Programming Interface استفاده می­كند، بر روی دستگاه­های اندروید یا iOS اثر نمی­گذارد.

محقق سایمانتك اظهار داشت كه این ماژول­ها كشف شده اند و برای تحلیل­های دقیق­تر تحت بررسی قرار دارند. به گفته سایمانتك این بدافزار كمتر از 50 سیستم را آلوده كرده است.

 

 

http://www.certcc.ir/index.php?name=news&file=article&sid=2078