34间谍恶意软件

admin 2018-06-27

研究人员发现了一次间谍恶意软件攻击,它能够感染多个平台,包括运行Windows和Mac OS X操作系统的计算机、Windows支持的移动设备和VMware虚拟机。

上个月Ars首次记录名为Morcut的特洛伊后门时,我们报告说,它将Macs变为远程间谍设备,能够拦截电子邮件和即时消息通信,并使用内部麦克风和摄像头监视机器附近的人。此后,研究人员对恶意软件有了更全面的认识,这就是所谓的“危机”。伪装成合法Adobe Flash installer的JAR或Java archive文件允许攻击感染更广泛的平台,包括虚拟机,许多人在执行在线银行业务或研究恶意网站时使用虚拟机来保护自己免受感染。

这可能是第一个试图传播到虚拟机上的恶意软件,?反病毒提供商Symantec的研究员Takashi Katsuki在周一发表的博客文章中写道。许多威胁在找到虚拟机监控应用程序(如VMware )时会自行终止,以避免被分析,因此这可能是恶意软件作者的下一个飞跃。

遇到基于Windows的PC时,危机会主动搜索VMware虚拟机映像。当发现恶意软件时,它会使用VMware Player将自己复制到映像上,这是一种可以在主机上同时运行多个操作系统的工具。Katsuki写道:“

它并不使用VMware软件本身的漏洞”。它利用了所有虚拟化软件的属性:即虚拟机只是主机磁盘上的一个文件或一系列文件。这些文件通常可以直接操作或装载,即使虚拟机没有运行也是如此。

如上图所示,JAR文件首先确定它是存在于Mac环境还是Windows环境中。当加载到操作系统X机器上时,危机访问能够在Macs上运行的Mach - O文件。当被加载到Windows环境中时,恶意软件使用标准的Windows可执行文件感染电脑,VMware Player攻击渗透虚拟机,以及当Windows移动设备连接到受损的Windows计算机时以其为目标的模块。

根据赛门铁克的数据,迄今为止,在全球不到50台机器上检测到危机。但鉴于它有能力通过后门感染Macs和Windows电脑,利用Skype、Adium、MSN Messenger和其他应用程序发送的通信,危机已经被认为是重要的。更值得注意的是,它的虚拟机功能已经被发现。


点赞: