Malver Crisis/Morcut inficira virtuelne mašine

Opisi virusa, 22.08.2012, 11:05 AM

Trojanac Crisis, poznat i pod nazivom Morcut, koji je otkriven u julu kao malver koji je namenjen Mac računarima sa različitim verzijama OS X, dobio je i svoju verziju za Windows, objavili su istraživači Symantec-a. Verzija malvera za Windows može da inficira VMware virtulenu mašinu, Windows Mobile uređaje i prenosive USB diskove.

Trojanac kojeg su 24. jula otkrili istraživači kompanije Intego može da snima razgovore preko Skype-a, saobraćaj IM (instant messaging) programa kao što su Adium i Microsoft Messenger za Mac, presreće eimailove i prati posete veb sajtovima preko brauzera Firefox i Safari.

Za distribuciju Trojanca koriste se tehnike društvenog inženjeringa koje imaju za cilj da nateraju korisnike da pokrenu zlonamerni JAR fajl koji izgleda kao Adobe Flash Installer. Malver potom identifikuje operativni sistem na zaraženom računaru i pokreće odgovarajući instaler posle čega je u mogućnosti da vrši monitoring aktivnosti na računaru.

Ove nedelje, istraživači Symantec-a otkrili su W32.Crisis koji inficira VMware virtuelne mašine i Windows Mobile uređaje.

Malver traga za VMware virtuelnim hard diskom na zaraženom računaru i ukoliko ga pronađe, on se kopira se unutar njega uz pomoć VMware Player-a. Kada korisnik zaraženog računara pokuša da pristupi virtuelnom hard disku, malver će moći da špijunira njegove aktivnosti.

Ovu funkcionalnost Trojanca potvrdili su i istraživači Kaspersky Lab-a. Sergej Golovanov iz Kaspersky Lab-a kaže da ova funkcionalnost omogućava malveru da krade i presreće podatke sa virtuelne mašine uključujući i podatke koji se koriste prilikom online kupovine.

Autori malvera su uložiili značajne napore da bi onemogućili otkrivanje novih verzija Trojanca od strane antivirusnih programa. Mnogi korisnici zbog bezbednosti prilikom online kupovine ili korišćenja online banking servisa koriste prednosti virtuelne mašine. Mnogi malveri su napisani tako da se ne pokreću unutar virtuelne mašine uglavnom zbog toga da bi sprečili stručnjake za bezbednost da analiziraju njihov zlonamerni kod jer oni često koriste virtuelna okruženja za proučavanje zlonamernih programa.

Trojanac Crisis/Morcut nasuprot većini malvera koji izbegavaju virtuelne mašine pokušava da dospe unutar što više sistema kako bi ukrao što više podataka.

Malver može inficirati Windows Mobile uređaj koji je povezan sa zaraženim Windows računarom preko Remote Application Programming Interface.

Broj računara zaraženih malverom Crisis/Morcut u ovom trenutku nije veliki. Kaspersky Lab je identifikovao tek nešto više od 20 zaraženih računara koji se nalaze u Meksiku, Iranu, Turskoj, Iraku, Omanu, Brazilu, Kazahstanu, Kirgistanu i Tadžekistanu. Ipak, to nije konačan broj, jer se radi samo o onim računarima koji imaju zaštitu antivirusnog softvera Kaspersky Lab-a.

Mali broj zaraženih računara i geografska distribucija ukazuju na to da je malver možda pre namenjen ciljanim napadima nego masovnoj infekciji računara.