محققان امنیتی بدافزاری را كشف كرده اند كه قادر است در چهار پلتفورم مختلف شامل ویندوز، Mac OS X، ماشینهای مجازی VMware و دستگاههای Windows Mobile منتشر گردد…
این بدافزار كه Crisis نام گرفته و نخستین بار ماه گذشته توسط شركت امنیتی Integro كشف شده است، در اصل به عنوان یك تروجان مك معرفی شده بود كه قادر است ایمیلها و پیامهای فوری را مورد رهگیری قرار دهد و وب سایتهای مشاهده شده را ردیابی نماید. تحقیقات دیگر انجام شده توسط سایمانتك نیز نشان داده است كه این بدافزار هر دو گروه كاربران OSX و ویندوز را با فایلهای اجرایی ساخته شده برای هر دو سیستم عامل مذكور هدف قرار میدهد.
Crisis با استفاده از تكنیكهای مهندسی اجتماعی منتشر میشود و كاربران را برای نصب یك فایل JAR كه خود را در قالب یك نصب كننده Adobe Flash جا میزند، فریب میدهد. این بدافزار سپس سیستم عامل كامپیوتر را شناسایی كرده و فایل اجرایی مرتبط را نصب مینماید.
یك محقق سایمانتك اظهار داشت كه ممكن است این نخستین بدافزاری باشد كه بر روی ماشین مجازی منتشر میگردد. بسیاری از تهدیدات زمانی كه متوجه میشوند كه بر روی یك برنامه نظارت ماشین مجازی مانند VMware قرار دارند، به اجرای خود پایان میدهند، در نتیجه ممكن است این یك گام رو به جلو برای بدافزار نویسان باشد.
Crisis با جستجوی یك تصویر ماشین مجازی VMware بر روی سیستم قربانی، منتشر میگردد. زمانی كه چنین تصویری پیدا میشود، این بدافزار با استفاده از ابزار VMware Player خود را بر روی آن كپی میكند كه اجازه میدهد چندین سیستم عامل بر روی یك كامپیوتر اجرا گردند.
این بدافزار از آسیب پذیری نرم افزار VMware استفاده نمیكند. بلكه از یك ویژگی در تمامی نرم افزارهای مجازی سازی استفاده میكند: ماشین مجازی صرفا یك فایل یا یك مجموعه فایل بر روی دیسك سیستم میزبان است. معمولا این فایلها میتوانند به طور مستقیم دستكاری شده یا نصب گردند، حتی زمانی كه ماشین مجازی در حال اجرا نیست.
نسخه ویندوزی Crisis همچنین میتواند از طریق نصب یك ماژول، به دستگاههای ویندوز موبایل متصل به سیستم قربانی منتشر گردد. اما از آنجایی كه این بدافزار از Remote Application Programming Interface استفاده میكند، بر روی دستگاههای اندروید یا iOS اثر نمیگذارد.
محقق سایمانتك اظهار داشت كه این ماژولها كشف شده اند و برای تحلیلهای دقیقتر تحت بررسی قرار دارند. به گفته سایمانتك این بدافزار كمتر از 50 سیستم را آلوده كرده است.
http://www.certcc.ir/index.php?name=news&file=article&sid=2078