TechNet Blog Deutschland

News für IT-Pros & Neues aus dem TechNet-Team

Crisis-Malware bricht in virtuelle Maschinen ein

Crisis-Malware bricht in virtuelle Maschinen ein

  • Comments 1
  • Likes

Die Crisis-Malware ist ein interessanter Vertreter für bösartige Programme: Symantec beschreibt in einem Blogeintrag, dass Crisis nicht nur Windows-Maschinen infiziert, sondern auch auf Systeme mit Mac OS zielt. Beide Angriffsmethoden liegen in einer JAR-Datei, die vom Nutzer ausgeführt werden muss. Um den Anwender hierzu zu motivieren, setzen die Kriminellen auf bekannte Social-Engineering-Taktiken.

Neben dem für sich genommen interessanten Angriff auf zwei verschiedene Betriebssysteme hat Crisis noch weitere Funktionen an Board: Die Malware infiziert nicht nur angesteckte Laufwerke oder Windows Mobile-Geräte, sondern versucht sich gezielt auf virtuelle Windows-Installationen zu schleichen. Die letzte Attacke ist dabei neu: Crisis durchsucht den kompromittierten Rechner nach virtuellen Maschinen von VMware. Findet die Malware entsprechende Daten, bindet es diese in das Betriebssystem ein und kopiert sich mit Hilfe eines Hilfsprogramms des VMware Players in die virtuelle Maschine.

Einige bösartige Programme enthalten eine Komponente, die erkennt, ob sie in einer virtuellen ausgeführt werden. Normalerweise gehen diese Programme dann davon aus, dass sie von einem Anti-Viren-Analysten ausgeführt und analysiert werden und deaktivieren sich. Crisis ist dagegen laut Symantec die erste Malware, die gezielt auf virtuelle Systeme losgeht.

Aufgrund des Trends hin zur Virtualisierung ist die VM-Infektion aus Sicht der Angreifer natürlich vielversprechend. So kann sich die Malware beispielsweise in Produktionsumgebungen weiterverbreiten, die verschiedene virtuelle Systeme zur Entwicklung nutzen. Oder sie infiziert Systeme, die für virtuelle Desktops genutzt werden. So könnte die Malware mit einem Schlag zahlreiche Nutzersysteme verseuchen. Für Admins bedeutet dass, das sie nicht nur die Server und Produktionssysteme absichern müssen, sondern diesen Schutz idealerweise auch auf alle virtuell genutzten Systeme ausdehnen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.   

Comments
  • Sehr intressant, was für Malware es heute alles gibt.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment