Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Crisis : le premier malware à cibler les machines virtuelles
Sous Windows

Le , par tarikbenmerar, Chroniqueur Actualités
Préalablement connu sous le nom Morcut, "Crisis" est un rootkit malicieux qui infecte les systèmes d'exploitation Windows et Mac OS X. Il y arrive par l'utilisation d'un faux installeur d'Adobe Flash Player dissimulé dans une archive JAR numériquement signé par VeriSign. Cette dernière contient deux exécutables, un pour Mac OS X et un autre pour Windows.

Selon le dernier rapport de Symantec Security, le logiciel malveillant se propage dans l'environnement Windows par l'utilisation du mécanisme d'autorun des disques durs amovibles, et les composants d'installation dans les dispositifs Windows Mobile. Entre autres...


Mode opératoire de Crisis

Car le plus intéressant, c'est son utilisation des instances de machine virtuelle pour se répandre.

« Ça pourrait être le premier malware qui essaye de se propager en utilisant une machine virtuelle. Beaucoup de menaces s'autoterminent si elles trouvent une application de surveillance de machine virtuelle, telle que VMWare, pour éviter d'être analysées », explique Takashi Katsuki, ingénieur chez Symantec. Et d'ajouter : « ça sera donc probablement le prochain bond en avant pour les créateurs de malware ».

En fait, le malware cherche une image de machine virtuelle VMWare dans l'ordinateur compromis, et dans le cas où il en trouve, il la monte et s'auto-copie dans cette dernière par l'utilisation de l'outil VMWare Player.

De plus, aucune vulnérabilité dans VMWare n'est utilisée. Comme une machine virtuelle n'est qu'un fichier ou un ensemble de fichiers dans le disque de la machine-hôte, ces derniers peuvent être directement manipulés ou montés, sans avoir à lancer la machine virtuelle, comme le démontre le mode opératoire de Crisis.

Symantec détecte le fichier JAR en tant que Trojan.Maljava. Il identifie la menace pour Mac comme OSX.Crisis et celle pour Windows en tant que W32.Crisis.

L'entreprise préconise de mettre à jour sa base virale de toute urgence.

Source : le rapport de Symantec

Et vous ?

Quel est l'impact réel de cette découverte sur les logiciels malveillants ?
Les machines virtuelles dans les Cloud publics sont-elles menacées par cette avancée ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Hedbanging Hedbanging - Membre à l'essai https://www.developpez.com
le 23/08/2012 à 19:52
Faudrait essayer de crypter les fichiers VMWare, ce serait cool.

Au fait, un virus MacOS et Windows ? Plutot rare...
Va savoir pourquoi il n'est pas porté sous linux, son architecture n'est pas si différente de celle de Unix(donc Mac)...
Avatar de Crazyfaboo Crazyfaboo - Membre actif https://www.developpez.com
le 24/08/2012 à 10:06
Citation Envoyé par Hedbanging  Voir le message
Au fait, un virus MacOS et Windows ? Plutot rare...
Va savoir pourquoi il n'est pas porté sous linux, son architecture n'est pas si différente de celle de Unix(donc Mac)...

A priori, ça serait du à la façon que le trojan a de s'installer. Il passe en effet par un installeur Adobe Flash. Et les installeurs standalone comme ça sous Linux, ben on s'en sert le moins possible en général et si c'est pour installer Adobe Flash, ben je ne pense pas sincèrement qu'il y ait beaucoup de linuxiens qui passent par autre chose que le site d'adobe.com pour récupérer l'installeur et vu qu'on est pas sollicité par les mises à jours comme sous Windows...
Bref, très peu d'intérêt de porter ce trojan sous linux donc vu son mode de propagation.

Citation Envoyé par tarikbenmerar
Les machines virtuelles dans les Cloud publics sont-elles menacées par cette avancée ?

A priori non. Le mode de propagation étant : 1) lancement d'un fake installeur Flash et 2) contamination des machines virtuelles installées sur l'OS dans lequel l'installeur est lancé, je ne vois pas bien comment les VM publiques du Cloud pourraient être impactées car jamais un admin cloud n'installera un plugin Flash sur un OS hébergeant les VM cloud et qui n'est très certainenement ni du Mac, ni du Windows (je penserai plutôt à quelque chose type Xen).

En fait, j'ai l'impression que ce type de virus n'est réellement intéressant que dans deux cas :
  1. Si une faille de sécurité est trouvée dans une VM permettant d'injecter du code dans le système d'exploitation hébergeant la VM et qu'une élévation de privilèges est ensuite possible sur l'OS hébergeant la VM. Ca fait beaucoup de si, mais trouver 2 failles 0-day telles que celle-ci, ça se fait bien (Stuxnet, Duqu) et ça permettrait d'infecter toutes les VM d'un coup avec un virus vraiment méchant pour les différents visiteurs...
  2. Pour infecter une VM de sorte à en modifier le comportement et notamment empêcher l'analyse d'un ou plusieurs virus en particulier... Ca me semble l'un des usages les plus probables, ça ferait gagner un peu de temps à certain virus avant que ceux-ci soit complètement désossés...
Avatar de Pelote2012 Pelote2012 - Membre chevronné https://www.developpez.com
le 29/08/2012 à 14:44
La vache c'est qu'ils deviennent vraiment vicieux les créateur de malware...

Bah, tant mieux, ça oblige les éditeurs d'OS et d'antivirus à faire du bouot propre
et Dommage que ce soit nous qui devons en faire les frais

Mais bon pour choper ce genre de saleté, il faut aller sur des sites douteux, non?
Offres d'emploi IT
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil