Crisis-Trojaner infiziert auch VMware-Images Einstellungen

[simracer]

Crisis-Trojaner infiziert auch VMware-Images
Der Trojaner Crisis befällt Windows und Mac OS X. Er fängt Tastatureingaben ab und hört Skype-Gespräche mit. Symantec hat jetzt entdeckt, dass er sich auch in virtuelle PCs einnisten kann, die mit VMware erstellt wurden.
Bereits seit Ende Juli warnt der russische Antivirenhersteller Dr. Web vor einem neu entdeckten Trojaner mit dem Namen BackDoor.DaVinci.1 - inzwischen auch als Crisis oder Morcut bekannt. Der Trojaner kann sowohl Windows als auch Mac OS X infizieren. Dabei richtet er ein Rootkit ein und spioniert den PC aus. Er kann beispielsweise Tastaturanschläge protokollieren (Keylogger), Screenshots anfertigen, E-Mails abfangen, ICQ- und Skype-Daten mitlesen und Kamera sowie Mikrofon des PCs nutzen.

Der Trojaner tarnt sich als “AdobeFlashPlayer” und verbreitet sich durch Social Engineering. Zur Übertragung verwendet er die Java-Datei AdobeFlashPlayer.jar, die ein selbst signiertes VeriSign-Zertifikat ausweist. Wird die Datei ausgeführt und die Fehlermeldung bezüglich des fälschlich signierten Zertifikats ignoriert, wird je nach System eine Payload für Windows oder Mac OS X ausgeführt. Nutzer, die kein Java installiert haben, brauchen Crisis/Morcut also nicht zu fürchten.
Der Antivirenhersteller Symantec hat inzwischen noch weitere Funktionen des Trojaners entdeckt. So soll Crisis auf Windows-Geräten gezielt nach VMware-Images suchen und diese dann mit Kopien von sich selbst infizieren. Dazu benutzt er keine Schwachstellen in VMware, sondern manipuliert direkt die Dateien der virtuellen Festplatten. Zudem installiert er offenbar Module auf Windows Mobile-Geräten.

Quelle: http://www.com-magazin.de/sicherheit/news/...-timtab-content

[SLE]

Naja, dass auch Images infiziert werden ist zwar selten, aber nicht wirklich neu.

Was daran sonderlich spektakulär ist, k.A.. Wenn das System infiziert ist, ist es eh oft egal ob die darauf laufenden VMs noch infiziert sind. Bedenklich aber sicher bei der Weitergabe von virtualisierten Installationen in Firmen.

[simracer]

SLE, ich dachte bisher immer Malware könne nicht aus VMware bzw Sandboxie heraus aufs System übergreifen und sobald man VMware bzw. Sandboxie beendet, wäre damit auch darin befindliche Malware weg. Ist das nun bei Crisis anders und kann der auch Sandboxen sozusagen umgehen/austricksen?

[SLE]

SLE, ich dachte bisher immer Malware könne nicht aus VMware bzw Sandboxie heraus aufs System übergreifen und sobald man VMware bzw. Sandboxie beendet, wäre damit auch darin befindliche Malware weg. Ist das nun bei Crisis anders und kann der auch Sandboxen sozusagen umgehen/austricksen?

1) VMs und Sandboxen sind was anderes.

2) Doch es gibt durchaus Leaks, wo Malware ausbrechen kann. War aber in beiden Fällen (VM, Sandbox) recht selten. Eher ist es so, dass Malware erkennen kann, wenn sie virtualisiert abläuft - und einige Malware dann einfach nix macht.

3) Hast du gelesen was du verlinkt und zitiert hast??? Hat mit einem Ausbruch rein gar nix zu tun. Reales System infiziert und dann wird auf dem System nach VMWare Images gesucht. Hier wird also nichts ausgetrickst.

[Schattenfang]

Eher ist es so, dass Malware erkennen kann, wenn sie virtualisiert abläuft - und einige Malware dann einfach nix macht.

ich würde fast behaupten, dass mittlerweile über 90% der malware-samples (die auch wirklich sauber programmierte schadfunktionen besitzen) nicht mehr in virtueller umgebung starten. das ist auch der grund, warum ich selbst seit einiger zeit nicht mehr richtig testen kann. und du hast recht, images werden nicht selten mitinfiziert.

[SLE]

ich würde fast behaupten, dass mittlerweile über 90% der malware-samples (die auch wirklich sauber programmierte schadfunktionen besitzen) nicht mehr in virtueller umgebung starten.

Also da sagen meine Stichproben was völlig anderes, zudem kann man dem teilweise vorbeugen.

Aber vielleicht kommt man durch diese Einschränkung:

(die auch wirklich sauber programmierte schadfunktionen besitzen)

auf 90% ?

[Schattenfang]

Aber vielleicht kommt man durch diese Einschränkung auf 90% ?

ich teste nur große bekannte familien wie zeus, alureon, zeroaccess, spyeye oder cridex, koobface und sinowal etc. die haben meist eine vm-erkennung. die anderen schadprogramme haben meist eine deutlich kleinere verbreitung.