2024年3月12日发(作者:)

会攻击VMware虚拟机的新病毒Crisis

Crisis是一款在 7 月下旬就开始传播的新恶意软件家族成员,曾被很多防毒软件厂商

报导过。该病毒主要感染运行 Mac OSX 的机器,而安全研究人员最近发现,有些新的

Crisis 变种也会感染 VMware 虚拟机和 Windows Mobile 系统。

有很多媒体报导一种会攻击 VMware 虚拟机的新病毒或恶意软件:Crisis(也叫做

Morcut)。这是一款在 7 月下旬就开始传播的新恶意软件家族成员,曾被很多防毒软件厂

商报导过,包括趋势科技。该病毒主要感染运行 Mac OSX 的机器,而安全研究人员最近

发现,有些新的 Crisis 变种也会感染 VMware 虚拟机和 Windows Mobile 系统。

下面是个实用指南,主要为您提供在面对这类不明疑惧事件时需要知道的信息,以及

在短期与长期阶段该做的事情。

先来复习一下,目前的虚拟化主要是通过两种类型的虚拟主机管理程序部署的:

1.第一类虚拟主机管理程序部署 – 最主要的例子是 VMware ESX、Citrix XenSource

等。可以将这类产品想成是替代一般主机操作系统(例如 Windows 或 Linux)的系统,

需要直接在物理机器的硬件上运行。这种软件本身就像是操作系统,可以直接控制硬件。

随后通过管理程序同时运行多个虚拟机。几乎所有数据中心都部署了这类虚拟化产品。这

类软件并不会被这个恶意程序所攻击。我也不知道实际上有哪种在外流传的恶意软件可以

感染第一类虚拟主机管理程序。

2.第二类虚拟主机管理程序部署 – 例如VMware Workstation、VMware Player 等,

这类虚拟主机管理程序需要安装在标准操作系统(例如 Windows 或 Linux)之上,再运

行多个虚拟机。而这第二种类型是恶意软件能够感染的。首先,主机操作系统先受到感染。

可能是一次已知的 Windows 或 Mac OS 攻击(所以要先检测操作系统,然后安装对应

的可执行文件)。接着会寻找 VMDK 文件,并利用虚拟主机工具(VMplayer)感染虚拟

机。而这类型感染是可以利用更新防病毒软件的方法加以预防的。

即使这个受感染的虚拟机被移动,并转为在第一类虚拟主机管理程序中运行(这只是

一个假设性的讨论),它也会被限制在虚拟机里,因为端点安全程序会防止虚拟机间的网络

通讯以及 I/O 通讯。

那么,这有什么大不了的?

虚拟机就和物理机器一样,如果不修补漏洞,一样会让恶意软件感染操作系统或应用

程序,或是会被针对用户的社会工程学攻击所入侵。而针对这次的问题,有两个因素让

Crisis 显得既新颖又独特:

首先,该恶意软件会明确地找到存在的虚拟机,并试图加以感染。

其次,它会通过底层基础架构感染虚拟机,也就是通过修改 VMDK 文件的方式,而

不是通过传统手段,例如远程网络、网页访问,或文件分享等方式进入虚拟机。

除了这些有趣的特性外,我们不认为这个恶意软件有什么明显的威胁。在真实世界里

的感染率非常低(小于 100 个案例),所以它看来不会出现大规模扩散,也不可能有迅速

传播的能力。话虽如此,如果担心的话,您还是应该采取一些预防措施:

保护您的虚拟机 – 您珍贵的应用程序和数据是所有攻击的最终目标,Crisis 只是让目