Malware „Crisis“ infiziert auch virtuelle Maschinen

Der ursprünglich als Mac-Trojaner eingestufte Schädling befällt Symantec zufolge ebenfalls Windows-PCs und Windows-Mobile-Geräte. Sobald Nutzer ein als Adobe Flash Installer getarntes Java-Archiv installieren, lädt er für das jeweilige OS geeignete ausführbare Dateien nach.

von Björn Greif am , 15:35 Uhr

Sicherheitsforscher haben herausgefunden, dass die ursprünglich als Mac-Trojaner eingestufte Malware „Crisis“ tatsächlich vier verschiedene Plattformen infizieren kann. Außer Rechnern mit Mac OS X und Windows zählen dazu Windows-Mobile-Geräte und virtuelle Maschinen von VMware.

Der Sicherheitsanbieter Integro hatte den letzten Monat entdeckten Schädling als Mac-Trojaner beschrieben, der E-Mails und IM-Nachrichten mitlesen sowie Website-Aufrufe protokollieren kann. Symantec stellte später fest, dass die Malware sowohl auf Mac- als auch auf Windows-Systeme abzielt.

Mittels Social-Engineering-Techniken werden Nutzer dazu gebracht, eine JAR-Datei zu installieren, die sich als Adobe Flash Installer tarnt. Die Malware identifiziert dann das verwendete Betriebssystem und installiert die passenden ausführbaren Dateien (siehe Grafik).

Crisis kann vier verschiedene Plattformen infizieren (Grafik: Symantec).Crisis kann vier verschiedene Plattformen infizieren (Grafik: Symantec).

„Das dürfte die erste Malware sein, die versucht, sich auf virtuelle Maschinen zu verbreiten“, schreibt Takashi Katsuki, Sicherheitsforscher in Diensten von Symantec, in einem Blogeintrag. „Viele Schadprogramme löschen sich selbst, wenn sie eine Monitoring-Anwendung für virtuelle Maschinen wie VMware entdecken, um zu verhindern, dass sie analysiert werden. Daher könnte dies der nächste große Schritt nach vorn für Malware-Autoren sein.“

Crisis sucht auf dem infizierten Computer gezielt nach dem Image einer virtuellen VMware-Maschine. Wird sie dabei fündig, kopiert die Malware sich selbst auf das Image mithilfe des Tools VMware Player, das die Ausführung mehrerer Betriebssysteme auf einem Computer erlaubt.

„Sie nutzt keine Anfälligkeit in VMwares Software aus“, erklärt Katsuki. „Stattdessen macht sie sich eine Eigenschaft jeder Virtualisierungssoftware zunutze: nämlich, dass eine virtuelle Maschine nichts weiter als eine Datei oder eine Reihe von Dateien auf der Festplatte des Host-Computers ist. Diese Dateien können normalerweise direkt manipuliert oder gemountet werden, selbst wenn die virtuelle Maschine nicht läuft.“

Die Windows-Variante von Crisis infiziert laut Symantec auch mobile Windows-Geräte. Werden diese mit einem kompromittierten Rechner verbunden, installiert der Schädling ein passendes Modul. Weil er dafür das Remote Application Programming Interface (RAPI) nutzt, sind Android- und iOS-Geräte nicht betroffen. „Wir haben aktuell noch keine Kopien dieser Module und halten daher danach Ausschau, um sie eingehender analysieren zu können“, so Katsuki.

[mit Material von Steven Musil, News.com]

Themenseiten: Mobile, Symantec, Virtualisation, Virtualisierung, Windows, Windows Mobile, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Malware „Crisis“ infiziert auch virtuelle Maschinen

Kommentar hinzufügen
  • Am 22. August 2012 um 16:59 von Insideedv

    Ein Hacker OS, dass mehr drauf hat, gibt es schon lange, funktioniert auf vielen Windowsversionen seit 2006 (XP, Vista, Win7).

    Subvirt, Virtual Machine Based Rootkit (VMBR)

    1. Hacker Betriebsystem lädt sich nach der Infektion (Drive by Download, usw…) unbemerkt nach.

    2. Nach Installation des Rootkits startet das System neu. Das startet dann eine virtuelle Maschine (VMWare) und darin das Betriebssystem des angegriffenen Rechners.

    Funktionsumfang:
    1. Keylogger
    2. Mikrofon & Webcam (Video;Bild) Aufzeichnung
    3. Daten auf der Festplatte beliebig manipulierbar
    4. Screenshot des Bildschirms.
    5. Weiterverbreitung der Infektion per USB Stick, eMail, Facebook, usw..
    6. Daten werden an den Hacker (auch live) gesendet per WLAN/DSL. (falls verfügbar über Nachbar WLAN) Sobald sie ein WLAN Netz vom Nachbarn in Reichweite haben, ist der PC/Laptop praktisch nie offline, wenn dieser Nachbar sein ADSL/Glasfaser/UPC-WLAN nie abdreht, weil der Hacker ein Nachbar WLAN zur Backupkommunikation benützt.

    Subvirt, fällt im Normalfall (im Privatbereich) nur auf, wenn der PC od. Laptop offline ist.

    Da es von keiner AV Lösung eine Fehlermeldung gibt ausser Kaspersky IS / Trend Micro IS 2010/11/12 melden beschädigte Datenbanken, wenn der PC offline ist.

    Aufgefallen ist die Infektion bei mir 3 Tage danach, als der Nachbar sein Internet abdrehte (Backupleitung des Hackers) und beschädigte Datenbanken aufleuchteten (eigenes Internet war abgeschaltet)

    Entdeckt werden kann er höchstens über diverse Rootkitscanner wie Trend Micro Hauscall, Radix Anti Rootkit, usw…, da findet man dann massenweise Rootkits im Windowsordner (System32 zB).

    Dies gilt weiters nur, wenn das BIOS vom Hacker noch nicht geflasht wurde, ist dies bereits geschehen, dann ist eine Auffindung ohne externe Mittel unmöglich.

    Die Rückkehr des BIOS Trojaners
    http://www.heise.de/security/meldung/Die-Rueckkehr-des-BIOS-Trojaners-1341262.html

    Weiters wird auch der (A)DSL Router geflasht, was bei der Telekom Austria zB (jetzt A1) kinderleicht ist. Diese haben ein Generalpasswort oder man kann sich ohne einloggen und die Firmware flashen.

    Der WPA/WPA 2 Schlüssel ist daraus generierbar für den Hacker.
    (Programm, Backupleitung)

    Siehe:

    http://websicherheit.wordpress.com/2011/03/12/massives-sicherheitsproblem-bei-telekom-austria-modems/

    http://www.zdnet.de/magazin/41559084/wpa2-geknackt-wie-der-neue-wlan-hack-funktioniert.htm

    WPA-Schlüssel in der Cloud knacken

    http://www.heise.de/security/meldung/WPA-Schluessel-in-der-Cloud-knacken-1168061.html

    https://www.wpacracker.com/

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *