Specialisten hebben malware ontdekt die zich probleemloos verspreidt tussen Windows, OS X, Windows Mobile en virtuele machines van VMware. Het virus, crisis, werd vorige maand al ontdekt door beveiliginsbedrijf Integro. Aanvankelijk werd er van uitgegaan dat het om een trojaans paard voor Macs was dat e-mails, chatberichten en bezochte websites kon onderscheppen. Maar onderzoekers van […]

Specialisten hebben malware ontdekt die zich probleemloos verspreidt tussen Windows, OS X, Windows Mobile en virtuele machines van VMware.

Het virus, crisis, werd vorige maand al ontdekt door beveiliginsbedrijf Integro. Aanvankelijk werd er van uitgegaan dat het om een trojaans paard voor Macs was dat e-mails, chatberichten en bezochte websites kon onderscheppen.

Maar onderzoekers van Symantec hebben nu vastgesteld dat de malware ook in staat is om Windows-machines en virtuele machines van VMware kan aanvallen.

 

Dat laatste is vrij uniek. Virtuele machines zijn virtuele computers die draaien binnen een fysieke machine. Hierdoor zijn ze doorgaans moeilijker te bereiken voor malware, maar ook dat is dus niet langer onmogelijk.

Concreet gebruikt Crisis zogenaamde social engineering. Daarbij worden gebruikers misleid om een JAR (Java archive) te installeren dat zich voordoet als een installatiepakket van Adobe Flash. Zodra de malware de computer heeft geïdentificeerd worden de juiste bestanden gedownload (zie diagram).

Crisis-virus kan virtuele machines besmetten.

“Dit is mogelijk de eerste malware die zich probeert te verspreiden naar een virtuele machine”, zegt Takashi Katsuky, onderzoeker bij Symantec, in een blogpost. “Veel bedreigingen stoppen zichzelf zodra ze een virtuele machine ontdekken zoals VMware, dit om te voorkomen dat ze geanalyseerd worden, dus dit kan de volgende sprong zijn voor malwareschrijvers.”

Hostbestanden
Op zich is er niets mis met de software van VMware zelf. “Het gebruikt geen zwakke plek in de VMware-software zelf,” schrijft Katsuki. “Het maakt gebruik van een item in alle virtualisatiesoftware: namelijk dat de virtuele machine in praktijk niets meer is dan een reeks bestanden op de harde schijf van de hostmachine. Deze bestanden kunnen rechtstreeks gemanipuleerd of geladen worden, zelfs wanneer de virtuele machine niet draait.”

De Windows-versie van Crsis kan zichzelf ook verspreiden naar toestellen op Windows Mobile die aangesloten zijn op een geïnfecteerde pc. Android of iOS-toestellen lopen geen gevaar. Of ook Windows Phone, de opvolger van Windows Mobile, gevaar loopt zegt Symantec niet.

Het virus zelf is voorlopig wel kleinschalig. Volgens Symantec zijn er minder dan vijftig machines geïnfecteerd op dit moment.