ماشين‌های مجازی، هدف بدافزار Crisis

شماره: IRCNE2012081596
تاريخ: 01/06/91

محققان امنيتي بدافزاري را كشف كرده اند كه قادر است در چهار پلتفورم مختلف شامل ويندوز، Mac OS X، ماشين­هاي مجازي VMware و دستگاه­هاي Windows Mobile منتشر گردد.
اين بدافزار كه Crisis نام گرفته و نخستين بار ماه گذشته توسط شركت امنيتي Integro كشف شده است، در اصل به عنوان يك تروجان مك معرفي شده بود كه قادر است ايميل­ها و پيام­هاي فوري را مورد رهگيري قرار دهد و وب سايت­هاي مشاهده شده را رديابي نمايد. تحقيقات ديگر انجام شده توسط سايمانتك نيز نشان داده است كه اين بدافزار هر دو گروه كاربران OSX و ويندوز را با فايل­هاي اجرايي ساخته شده براي هر دو سيستم عامل مذكور هدف قرار مي­دهد.
Crisis با استفاده از تكنيك­هاي مهندسي اجتماعي منتشر مي­شود و كاربران را براي نصب يك فايل JAR كه خود را در قالب يك نصب كننده Adobe Flash جا مي­زند، فريب مي­دهد. اين بدافزار سپس سيستم عامل كامپيوتر را شناسايي كرده و فايل اجرايي مرتبط را نصب مي­نمايد.
يك محقق سايمانتك اظهار داشت كه ممكن است اين نخستين بدافزاري باشد كه بر روي ماشين مجازي منتشر مي­گردد. بسياري از تهديدات زماني كه متوجه مي­شوند كه بر روي يك برنامه نظارت ماشين مجازي مانند VMware قرار دارند، به اجراي خود پايان مي­دهند، در نتيجه ممكن است اين يك گام رو به جلو براي بدافزار نويسان باشد.
Crisis با جستجوي يك تصوير ماشين مجازي VMware بر روي سيستم قرباني، منتشر مي­گردد. زماني كه چنين تصويري پيدا مي­شود، اين بدافزار با استفاده از ابزار VMware Player خود را بر روي آن كپي مي­كند كه اجازه مي­دهد چندين سيستم عامل بر روي يك كامپيوتر اجرا گردند.
اين بدافزار از آسيب پذيري نرم افزار VMware استفاده نمي­كند. بلكه از يك ويژگي در تمامي نرم افزارهاي مجازي سازي استفاده مي­كند: ماشين مجازي صرفا يك فايل يا يك مجموعه فايل بر روي ديسك سيستم ميزبان است. معمولا اين فايل­ها مي­توانند به طور مستقيم دستكاري شده يا نصب گردند، حتي زماني كه ماشين مجازي در حال اجرا نيست.
نسخه ويندوزي Crisis همچنين مي­تواند از طريق نصب يك ماژول، به دستگاه­هاي ويندوز موبايل متصل به سيستم قرباني منتشر گردد. اما از آنجايي كه اين بدافزار از Remote Application Programming Interface استفاده مي­كند، بر روي دستگاه­هاي اندرويد يا iOS اثر نمي­گذارد.
محقق سايمانتك اظهار داشت كه اين ماژول­ها كشف شده اند و براي تحليل­هاي دقيق­تر تحت بررسي قرار دارند. به گفته سايمانتك اين بدافزار كمتر از 50 سيستم را آلوده كرده است.