Crisis kann vier verschiedene Plattformen infizieren (Grafik: Symantec).
Sicherheitsforscher haben herausgefunden, dass die ursprünglich als Mac-Trojaner eingestufte Malware „Crisis“ tatsächlich vier verschiedene Plattformen infizieren kann. Außer Rechnern mit Mac OS X und Windows zählen dazu Windows-Mobile-Geräte und virtuelle Maschinen von VMware.
Der Sicherheitsanbieter Integro hatte den letzten Monat entdeckten Schädling als Mac-Trojaner beschrieben, der E-Mails und IM-Nachrichten mitlesen sowie Website-Aufrufe protokollieren kann. Symantec stellte später fest, dass die Malware sowohl auf Mac- als auch auf Windows-Systeme abzielt.
Mittels Social-Engineering-Techniken werden Nutzer dazu gebracht, eine JAR-Datei zu installieren, die sich als Adobe Flash Installer tarnt. Die Malware identifiziert dann das verwendete Betriebssystem und installiert die passenden ausführbaren Dateien (siehe Grafik).
„Das dürfte die erste Malware sein, die versucht, sich auf virtuelle Maschinen zu verbreiten“, schreibt Takashi Katsuki, Sicherheitsforscher in Diensten von Symantec, in einem Blogeintrag. „Viele Schadprogramme löschen sich selbst, wenn sie eine Monitoring-Anwendung für virtuelle Maschinen wie VMware entdecken, um zu verhindern, dass sie analysiert werden. Daher könnte dies der nächste große Schritt nach vorn für Malware-Autoren sein.“
Crisis sucht auf dem infizierten Computer gezielt nach dem Image einer virtuellen VMware-Maschine. Wird sie dabei fündig, kopiert die Malware sich selbst auf das Image mithilfe des Tools VMware Player, das die Ausführung mehrerer Betriebssysteme auf einem Computer erlaubt.
„Sie nutzt keine Anfälligkeit in VMwares Software aus“, erklärt Katsuki. „Stattdessen macht sie sich eine Eigenschaft jeder Virtualisierungssoftware zunutze: nämlich, dass eine virtuelle Maschine nichts weiter als eine Datei oder eine Reihe von Dateien auf der Festplatte des Host-Computers ist. Diese Dateien können normalerweise direkt manipuliert oder gemountet werden, selbst wenn die virtuelle Maschine nicht läuft.“
Die Windows-Variante von Crisis infiziert laut Symantec auch mobile Windows-Geräte. Werden diese mit einem kompromittierten Rechner verbunden, installiert der Schädling ein passendes Modul. Weil er dafür das Remote Application Programming Interface (RAPI) nutzt, sind Android- und iOS-Geräte nicht betroffen. „Wir haben aktuell noch keine Kopien dieser Module und halten daher danach Ausschau, um sie eingehender analysieren zu können“, so Katsuki.
[mit Material von Steven Musil, News.com]
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
