De Crisis-malware kan niet alleen Windows-pc's en Macs besmetten, maar zoekt ook actief naar virtuele machines om zich daarin te nestelen. Deze functie is ontdekt in de Windows-variant.

Securityleverancier Symantec heeft een uitvoering van Crisis voor Windows geanalyseerd en daarin twee speciale functies ontdekt. De ene is de mogelijkheid om via een besmette Windows-pc ook een smartphone met Windows Mobile te infecteren. Dat mobiele toestel moet dan wel verbonden zijn met de pc in kwestie. De andere aparte Windows-functie is de actieve scan en automatische besmetting van virtuele machines.

Simpelweg bestand besmetten
De complexe malware pakt hiermee virtuele systemen die draaien op de virtualisatiesoftware van VMware. Er is geen sprake van een kwetsbaarheid in die producten; Crisis zoekt simpelweg VMware-bestanden, mount die images met de gratis tool VMware Player en kopieert zichzelf dan naar die virtuele schijf.

De gevirtualiseerde pc zelf hoeft hiervoor niet te draaien of zelfs gestart te worden. Crisis kan hiermee dus ook standaard-images besmetten zodat later gekopieerde en aangepaste virtuele machines al vooraf ge´nfecteerd zijn. Mogelijk is dit de eerste malware die zichzelf doelbewust probeert te verspreiden naar ook virtuele machines, merkt onderzoeker Takashi Katsuki van Symantec op.

Voorheen versus honeypots
Hij blogt dat veel malware wel de mogelijkheid heeft om virtuele machines te detecteren, maar dan juist om zichzelf uit te schakelen vanwege het risico van honeypots. Dat zijn virtuele machines die specifiek zijn opgetuigd om besmettingen op te lopen zodat security-onderzoekers nieuwe malware kunnen ontdekken en analyseren. De Mac-variant van Crisis is eerder ontdekt toen het als Mac OS X-spyware werd ingezet tegen Marokkaanse journalisten.

Crisis kan zichzelf op meerdere verschillende manieren verspreiden, naar meerdere platformen:



Bron: Symantec