Ny internet-spion angriber virtuelle maskiner

Symantec advarer mod en ny trojaner, Crisis, der angriber fire forskellige platforme. Den spreder sig både til Windows, Mac OS X, VMware virtuelle maskiner og Windows Mobile enheder. Crisis blev opdaget i sidste måned af sikkerhedsfirmaet Integro og blev dengang beskrevet som en Mac-trojaner. Men den seneste analyse fra Symantec viser, at den rammer meget bredere.

"Det kan være den første malware, som forsøger at sprede sig til en virtuel maskine. De fleste trusler lukker automatisk ned når de opdager en virtuel maskine, som VMware, for at undgå at blive analyseret, så det kan være det næste spring fremad for malware-programmørerne," skriver Symantec-forsker Takashi Katsuki i et blog-indlæg.

Crisis søger efter et VMware image på den inficerede computer og kopierer sig selv til dette image med VMware Player værktøjet, som tillader flere operativsystemer at køre på den samme computer.

"Det bruger ikke en sårbarhed i selve VMware softwaren. Det bruger en egenskab i alle virtualiserings-programmer; nemlig at den virtuelle maskine kun er en fil eller serie af filer på værtsmaskinens disk. Disse filer kan manipuleres eller mountes direkte, selv når den virtuelle maskine ikke kører," skriver Takashi Katsuki ifølge CNET.

Indtil videre er der kun registreret meget få inficeringer, og det kunne tyde på, at der er tale om et målrettet kommercielt spionværktøj.

Det minder om spionprogrammet FinFisher, som muligvis bruges af regeringer i en række lande til at overvåge politiske modstandere.