Les chercheurs ont découvert que le malware rootkit Crisis peut se propager via les machines virtuelles, les téléphones mobiles Windows, Mac OS et Windows.
Crisis, également connu sous le nom de Morcut, est un rootkit qui infecte les machines Windows et Mac OS X à l'aide d'un faux programme d'installation d'Adobe Flash Player. Découvert en juillet, le cheval de Troie OSX.Crisis cible les utilisateurs Windows et Mac OS et est capable d'enregistrer Skype conversations, capturez le trafic de la messagerie instantanée et suivez les sites Web visités dans Firefox ou Safari.
Cependant, il est désormais apparu que le malware peut se propager dans quatre environnements différents, y compris les machines virtuelles.
Il se propage via des « attaques d'ingénierie sociale » – en d'autres termes, il incite un utilisateur à exécuter un programme Java. Le programme d'installation Flash de l'applet détecte le système d'exploitation et exécute le programme d'installation du cheval de Troie approprié via un fichier JAR. déposer. Les deux fichiers .exe publiés ouvrent une porte dérobée, compromettant l’ordinateur.
À l’origine, on pensait que le malware ne pouvait se propager que sur ces deux systèmes d’exploitation. Cependant, Symantec a trouvé un certain nombre de moyens de réplication supplémentaires. Une méthode est la possibilité de se copier et de créer un fichier autorun.inf sur un lecteur de disque amovible, une autre consiste à s'insinuer sur une machine virtuelle VMware, et la dernière façon est de déposer des modules sur un Windows Mobile appareil.
Katsuki écrit sur le blog officiel de Symantec:
"La menace recherche une image de machine virtuelle VMware sur l'ordinateur compromis et, si elle trouve une image, elle monte l'image puis se copie sur l'image à l'aide d'un outil VMware Player. Il s’agit peut-être du premier malware qui tente de se propager sur une machine virtuelle. »
C'est la première fois qu'un malware ciblant des machines virtuelles est exposé, mais Symantec insiste sur le fait que cela n'est pas dû à des failles de sécurité ou à des vulnérabilités de VMware. logiciel lui-même étant exploité, mais le cheval de Troie Crisis profite plutôt de la forme, à savoir que la VM n'est rien de plus qu'un ou plusieurs fichiers sur le disque d'un machine. Même si la machine virtuelle n'est pas en cours d'exécution, ces fichiers peuvent toujours être montés ou manipulés par un code malveillant.
" De nombreuses menaces s'arrêteront d'elles-mêmes lorsqu'elles trouveront une application de surveillance de machine virtuelle, telle que VMware, pour éviter d'être analysé, cela pourrait donc être le prochain pas en avant pour les auteurs de logiciels malveillants", Katsuki écrit.
Cependant, il y a de bonnes nouvelles pour les utilisateurs d’appareils iOS et Android. Comme ils utilisent l'interface de programmation d'applications à distance (RAPI), ces systèmes ne sont pas otages des mêmes vulnérabilités que les modèles de téléphones Windows.
Le logiciel Symantec détecte le fichier JAR comme cheval de Troie. Maljava, la menace pour Mac sous le nom d'OSX.Crisis et la menace pour Windows sous le nom de W32.Crisis. La crise a été découverte pour la première fois par les chercheurs de Kaspersky Lab le mois dernier.
Monde de l'ordinateur rapporte que des chercheurs en sécurité d'Intego ont suggéré que Crisis était lié à un cheval de Troie initialement autorisé aux autorités à des fins de surveillance.