IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Crisis : le premier malware à cibler les machines virtuelles
Sous Windows

Le , par tarikbenmerar

29PARTAGES

6  0 
Préalablement connu sous le nom Morcut, "Crisis" est un rootkit malicieux qui infecte les systèmes d'exploitation Windows et Mac OS X. Il y arrive par l'utilisation d'un faux installeur d'Adobe Flash Player dissimulé dans une archive JAR numériquement signé par VeriSign. Cette dernière contient deux exécutables, un pour Mac OS X et un autre pour Windows.

Selon le dernier rapport de Symantec Security, le logiciel malveillant se propage dans l'environnement Windows par l'utilisation du mécanisme d'autorun des disques durs amovibles, et les composants d'installation dans les dispositifs Windows Mobile. Entre autres...


Mode opératoire de Crisis

Car le plus intéressant, c'est son utilisation des instances de machine virtuelle pour se répandre.

« Ça pourrait être le premier malware qui essaye de se propager en utilisant une machine virtuelle. Beaucoup de menaces s'autoterminent si elles trouvent une application de surveillance de machine virtuelle, telle que VMWare, pour éviter d'être analysées », explique Takashi Katsuki, ingénieur chez Symantec. Et d'ajouter : « ça sera donc probablement le prochain bond en avant pour les créateurs de malware ».

En fait, le malware cherche une image de machine virtuelle VMWare dans l'ordinateur compromis, et dans le cas où il en trouve, il la monte et s'auto-copie dans cette dernière par l'utilisation de l'outil VMWare Player.

De plus, aucune vulnérabilité dans VMWare n'est utilisée. Comme une machine virtuelle n'est qu'un fichier ou un ensemble de fichiers dans le disque de la machine-hôte, ces derniers peuvent être directement manipulés ou montés, sans avoir à lancer la machine virtuelle, comme le démontre le mode opératoire de Crisis.

Symantec détecte le fichier JAR en tant que Trojan.Maljava. Il identifie la menace pour Mac comme OSX.Crisis et celle pour Windows en tant que W32.Crisis.

L'entreprise préconise de mettre à jour sa base virale de toute urgence.

Source : le rapport de Symantec

Et vous ?

Quel est l'impact réel de cette découverte sur les logiciels malveillants ?
Les machines virtuelles dans les Cloud publics sont-elles menacées par cette avancée ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Hedbanging
Membre à l'essai https://www.developpez.com
Le 23/08/2012 à 19:52
Faudrait essayer de crypter les fichiers VMWare, ce serait cool.

Au fait, un virus MacOS et Windows ? Plutot rare...
Va savoir pourquoi il n'est pas porté sous linux, son architecture n'est pas si différente de celle de Unix(donc Mac)...
0  0 
Avatar de Crazyfaboo
Membre actif https://www.developpez.com
Le 24/08/2012 à 10:06
Citation Envoyé par Hedbanging Voir le message

Au fait, un virus MacOS et Windows ? Plutot rare...
Va savoir pourquoi il n'est pas porté sous linux, son architecture n'est pas si différente de celle de Unix(donc Mac)...
A priori, ça serait du à la façon que le trojan a de s'installer. Il passe en effet par un installeur Adobe Flash. Et les installeurs standalone comme ça sous Linux, ben on s'en sert le moins possible en général et si c'est pour installer Adobe Flash, ben je ne pense pas sincèrement qu'il y ait beaucoup de linuxiens qui passent par autre chose que le site d'adobe.com pour récupérer l'installeur et vu qu'on est pas sollicité par les mises à jours comme sous Windows...
Bref, très peu d'intérêt de porter ce trojan sous linux donc vu son mode de propagation.

Citation Envoyé par tarikbenmerar
Les machines virtuelles dans les Cloud publics sont-elles menacées par cette avancée ?
A priori non. Le mode de propagation étant : 1) lancement d'un fake installeur Flash et 2) contamination des machines virtuelles installées sur l'OS dans lequel l'installeur est lancé, je ne vois pas bien comment les VM publiques du Cloud pourraient être impactées car jamais un admin cloud n'installera un plugin Flash sur un OS hébergeant les VM cloud et qui n'est très certainenement ni du Mac, ni du Windows (je penserai plutôt à quelque chose type Xen).

En fait, j'ai l'impression que ce type de virus n'est réellement intéressant que dans deux cas :
  1. Si une faille de sécurité est trouvée dans une VM permettant d'injecter du code dans le système d'exploitation hébergeant la VM et qu'une élévation de privilèges est ensuite possible sur l'OS hébergeant la VM. Ca fait beaucoup de si, mais trouver 2 failles 0-day telles que celle-ci, ça se fait bien (Stuxnet, Duqu) et ça permettrait d'infecter toutes les VM d'un coup avec un virus vraiment méchant pour les différents visiteurs...
  2. Pour infecter une VM de sorte à en modifier le comportement et notamment empêcher l'analyse d'un ou plusieurs virus en particulier... Ca me semble l'un des usages les plus probables, ça ferait gagner un peu de temps à certain virus avant que ceux-ci soit complètement désossés...
0  0 
Avatar de Pelote2012
Membre chevronné https://www.developpez.com
Le 29/08/2012 à 14:44
La vache c'est qu'ils deviennent vraiment vicieux les créateur de malware...

Bah, tant mieux, ça oblige les éditeurs d'OS et d'antivirus à faire du bouot propre
et Dommage que ce soit nous qui devons en faire les frais

Mais bon pour choper ce genre de saleté, il faut aller sur des sites douteux, non?
0  0