Hãng bảo mật Symantec vừa thông báo rằng, một loại mã độc mới có tên OSX.Crisis có khả năng lây lan trên 4 môi trường khác nhau gồm, hệ điều hành Mac, Windows, qua các máy ảo và Windows Mobile.
Đây là một mối đe dọa cấp cao không chỉ về tính năng mà còn về phương thức lây lan tinh vi. Mối đe dọa này sử dụng 3 phương pháp để phát tán sự lây nhiễm. Thứ nhất là tự động sao chép chính nó và một tệp tin có tên autorun.inf tới một ổ đĩa di động.
Cách thứ 2 là lén lút lây nhiễm vào một máy ảo Vmware; và phương pháp thứ 3 là gắn các mô đun của nó vào một thiết bị di động chạy HĐH Windows Mobile.
Đặc biệt trong các môi trường ảo hóa, mối đe dọa mới này tìm kiếm các ảnh (image) của máy ảo Vmware trên máy tính bị lây nhiễm, và nếu tìm được một ảnh máy ảo, nó sẽ nối tới ảnh này và tự động sao chép chính nó tới ảnh bằng cách sử dụng công cụ Vmware Player.
Mã độc không sử dụng lỗ hổng trên phần mềm của Vmware mà thay vào đó nó lợi dụng một thuộc tính phổ biến trên tất cả các phần mềm ảo hóa, đó là: máy ảo đơn thuần chỉ là một tệp tin hoặc một loạt các tệp tin nằm trên ổ đĩa của máy chủ (host machine). Những tệp tin này có thể thường xuyên được kết nối và thao tác trực tiếp, kể cả khi máy ảo không hoạt động – như trong trường hợp đề cập ở trên.
Đây có lẽ là mã độc đầu tiên sử dụng phương thức lây lan trên máy ảo. Nhiều mối đe dọa bảo mật đã từng được biết đến trước đây sẽ “tự hủy” khi chúng phát hiện một ứng dụng giám sát trên môi trường ảo hóa, chẳng hạn như sản phẩm của Vmware – để tránh bị phân tích. Do vậy, đây có lẽ là một bước tiến dài của những kẻ chuyên viết mã độc.
Cách thứ 2 là lén lút lây nhiễm vào một máy ảo Vmware; và phương pháp thứ 3 là gắn các mô đun của nó vào một thiết bị di động chạy HĐH Windows Mobile.
Đặc biệt trong các môi trường ảo hóa, mối đe dọa mới này tìm kiếm các ảnh (image) của máy ảo Vmware trên máy tính bị lây nhiễm, và nếu tìm được một ảnh máy ảo, nó sẽ nối tới ảnh này và tự động sao chép chính nó tới ảnh bằng cách sử dụng công cụ Vmware Player.
Mã độc không sử dụng lỗ hổng trên phần mềm của Vmware mà thay vào đó nó lợi dụng một thuộc tính phổ biến trên tất cả các phần mềm ảo hóa, đó là: máy ảo đơn thuần chỉ là một tệp tin hoặc một loạt các tệp tin nằm trên ổ đĩa của máy chủ (host machine). Những tệp tin này có thể thường xuyên được kết nối và thao tác trực tiếp, kể cả khi máy ảo không hoạt động – như trong trường hợp đề cập ở trên.
Đây có lẽ là mã độc đầu tiên sử dụng phương thức lây lan trên máy ảo. Nhiều mối đe dọa bảo mật đã từng được biết đến trước đây sẽ “tự hủy” khi chúng phát hiện một ứng dụng giám sát trên môi trường ảo hóa, chẳng hạn như sản phẩm của Vmware – để tránh bị phân tích. Do vậy, đây có lẽ là một bước tiến dài của những kẻ chuyên viết mã độc.
(Theo PCW)
Không có nhận xét nào:
Đăng nhận xét