SnakeHu 2012-09-09
赛门铁克日前发现可以同时跨微软和Mac操作系统的恶意程序OSX.Crisis也会针对VMware的虚拟主机发动攻击,这也是目前发现第一起针对虚拟主机发动攻击的恶意程序。
赛门铁克表示,这个OSX.Crisis恶意程序本身有一个JAR档案,内置可以同时在微软和Mac操作系统活动的执行档案,这样的执行档案可以自动检测所处的伺服器环境,如果该台伺服器有其他的虚拟主机时,该恶意程序就会寻找VMware的映像档案,透过VMware Player Tool工具打开这个虚拟主机来植入恶意程序。
赛门铁克指出,许多杀毒软件为了提高检测效率,都会在虚拟环境内进行沙箱检测,以往的恶意程序为了躲过杀毒软件的检测,一旦检测到该操作系统内有虚拟环境,多会停止动作,借此隐藏自己的踪迹。但OSX.Crisis则是第一个试图复制并感染到其他虚拟环境的恶意程序。
根据赛门铁克的观察,这个OSX.Crisis恶意程序原本是透过社交工程的方式进入企业的内网,可以侧录Skype的Session,MSN和绿色鸭子的即时通信对谈,也可以窃取Safari和火狐狸浏览器的记录,也可以对外和傀儡网路的中控主机取得连线。
为了杜绝这种恶意程序的扩散,赛门铁克表示,企业可以首先检查虚拟主机和实体伺服器中,是否一定要共用网路,先切断没有必要的网路连线;加上该恶意程序也可以透过USB被复制,杜绝所有外接储存设备的Autorun功能。为了确保虚拟主机的安全性,建议每一个虚拟主机的Guest OS都应该安装杀毒软件。