Crisis成全球首个能侵入虚拟机的恶意程序

onlyangli

防病毒公司Intego首次发现了窃取Skype聊天记录，微软Messenger聊天记录、Safari或者Firefox访问过的网址等敏感信息，并发送到远程服务器的Crisis恶意程序 ，最近根据赛门铁克研究称Windows版本的Crisis恶意程序甚至能够感染VMware虚拟主机，并能够通过Windows Mobile设备或者可移动存储设备进行传播。

对此赛门铁克病毒分析师 Takashi Katsuki本周一在博客上写到：“这个恶意程序能够检索VMware虚拟主机保存到真实主机上的图片，然后通过VMware Player tool对图片进行注入，并进一步感染虚拟主机”。Katsuki称：“这是全球首款能够传播侵害到虚拟主机的恶意程序。这个木马宣告侵入虚拟主机将会越来越多。”

     同时卡巴斯基实验室的病毒专家Sergey Golovanov周二在邮件中表示：“这个恶意程序能够让Morcut窃取和感染虚拟主机上的数据，并能进一步窃取上网购物的帐号信息。”

http://bbs.kafan.cn/thread-1358047-1-1.html

黑暗的背叛者

我明白了，这个病毒是在VM向主机传文件的时候对文件进行注入，利用了VM Tool的漏洞。但只有在逃避了主机病毒扫描并成功运行的情况下才会感染主机，然而实际上一般多数是主机向虚拟机传文件。真正可怕的是虚拟机的病毒能与主机VM交互，使VM Tool自动向主机传送数据，从目前来看这个病毒无此功能。综上所述，个人认为这个病毒根本不能算作真正意义上的穿透虚拟机。

onlyangli

黑暗的背叛者 发表于 2012-8-22 19:54
我明白了，这个病毒是在VM向主机传文件的时候对文件进行注入，利用了VM Tool的漏洞。但只有在逃避了主机病毒 ...

不用杀毒软件，如何设定规则，用HIPS防住这种病毒？（假定HIPS软件没有被穿，规则有效）

黑暗的背叛者

onlyangli 发表于 2012-8-22 20:04
不用杀毒软件，如何设定规则，用HIPS防住这种病毒？（假定HIPS软件没有被穿，规则有效）

样本区有样本（真强），地址：http://bbs.kafan.cn/thread-1358147-1-1.html，
在虚拟机里（你可以不用VM或不传文件也没问题）运行，监视软件或HIPS可以看到动作进而制定规则。我是根据官方（铁壳）的情报作出以上结论，未经实测，无法给你具体建议。个人猜测，你可以设置对VM Tool禁止注入。
详细规则建议转至HIPS求助。

onlyangli

黑暗的背叛者 发表于 2012-8-22 20:11
样本区有样本（真强），地址：http://bbs.kafan.cn/thread-1358147-1-1.html，
在虚拟机里（你可以不用V ...

好的

ssama

靠tools穿的，并不是真正的穿透。