WebHostingTalk

Kontenery VMware w niebezpieczeństwie?

Kilka godzin temu, dzięki pracownikom Symanteca dowiedzieliśmy się o nowej funkcji robaka Crisis, który instaluje się na komputerach poprzez zainfekowane pliki .jar (aplety Java). Mimo, że jak szacują specjaliści, dotychczas problem dotknął dopiero kilkadziesiąt maszyn, to jego sposoby na romnażanie są co najmniej interesujące.

Jak poinformował Takashi Katsuki z firmy Symantec, po zainfekowaniu systemu, robak zaczyna szukać na lokalnych dyskach twardych obrazów maszyn wirtualnych VMware. Gdy to mu się uda, Crisis mountuje obraz dyskowy i za pomocą VMware Player instaluje na nich swoją kopię.

Jest to prawdopodobnie pierwszy robak pod Windows, który stosuje tego typu metody do infekowania kolejnych maszyn. Nie jest to oczywiście spowodowane błędami po stronie VMware, a specyfiką tego typu rozwiązań wirtualizacyjnych opierających się na obrazach dyskowych, które można otworzyć z poziomu głownego serwera „matki”.

Oczywiście, raczej mało kto używa komputera hostującego oparte o VMware kontenery do przegladania Internetu czy poczty (a to są obecnie główne sposoby w które ten robak infekuje systemy), więc problem jest bardziej teoretyczny niż praktyczny, ale robak może stać się niebezpieczny w momencie gdy błędna konfiguracja maszyny matki pozwoli na zdalne uruchomienie jego kodu.

Crisis ma także wiele innych dość niespotykanych dotychczas funkcji, jest multiplatformowy, atakuje nie tylko Windows i MacOS, ale potrafi zainstalować się na telefonie z mobilnym Windowsem (po uprzednim podpięciu go do zainfekowanego komputera), nagrywać rozmowy ze Skype, czy podsłuchiwać wiadomości w klientach typu Microsoft Messanger.

Pełną informację na ten temat i fragmenty kodu robaka znajdziecie pod adresem http://www.symantec.com/connect/blogs/crisis-windows-sneaks-virtual-machines

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *