Der Sicherheitsanbieter Integro hatte den letzten Monat entdeckten Schädling als Mac-Trojaner beschrieben, der E-Mails und IM-Nachrichten mitlesen sowie Website-Aufrufe protokollieren kann. Symantec stellte später fest, dass die Malware sowohl auf Mac- als auch auf Windows-Systeme abzielt.
Mittels Social-Engineering-Techniken werden Nutzer dazu gebracht, eine JAR-Datei zu installieren, die sich als Adobe Flash Installer tarnt. Die Malware identifiziert dann das verwendete Betriebssystem und installiert die passenden ausführbaren Dateien (siehe Grafik).
“Das dürfte die erste Malware sein, die versucht, sich auf virtuelle Maschinen zu verbreiten”, schreibt Takashi Katsuki, Sicherheitsforscher in Diensten von Symantec, in einem Blogeintrag. “Viele Schadprogramme löschen sich selbst, wenn sie eine Monitoring-Anwendung für virtuelle Maschinen wie VMware entdecken, um zu verhindern, dass sie analysiert werden. Daher könnte dies der nächste große Schritt nach vorn für Malware-Autoren sein.”
Crisis sucht auf dem infizierten Computer gezielt nach dem Image einer virtuellen VMware-Maschine. Wird sie dabei fündig, kopiert die Malware sich selbst auf das Image mithilfe des Tools VMware Player, das die Ausführung mehrerer Betriebssysteme auf einem Computer erlaubt.
“Sie nutzt keine Anfälligkeit in VMwares Software aus”, erklärt Katsuki. “Stattdessen macht sie sich eine Eigenschaft jeder Virtualisierungssoftware zunutze: nämlich, dass eine virtuelle Maschine nichts weiter als eine Datei oder eine Reihe von Dateien auf der Festplatte des Host-Computers ist. Diese Dateien können normalerweise direkt manipuliert oder gemountet werden, selbst wenn die virtuelle Maschine nicht läuft.”
Die Windows-Variante von Crisis infiziert laut Symantec auch mobile Windows-Geräte. Werden diese mit einem kompromittierten Rechner verbunden, installiert der Schädling ein passendes Modul. Weil er dafür das Remote Application Programming Interface (RAPI) nutzt, sind Android- und iOS-Geräte nicht betroffen. “Wir haben aktuell noch keine Kopien dieser Module und halten daher danach Ausschau, um sie eingehender analysieren zu können”, so Katsuki.
[mit Material von Steven Musil, News.com]
Laut ESET-Forschern hat sich die Gruppe RansomHub innerhalb kürzester Zeit zur dominierenden Kraft unter den…
Damit hängt die hiesige Wirtschaft beim Einsatz der Technologie zwar nicht zurück, ist jedoch auch…
Bitdefender-Labs-Analyse der ersten digitalen Erpressung von RedCurl zeigt, dass Angreifer lange unentdeckt bleiben wollen und…
Backup-Systeme haben in der Vergangenheit eine Art Versicherung gegen Angriffe geboten, doch Hacker versuchen nun,…
Forschende des Karlsruher Institut für Technologie (KIT) entwickeln erstes nationales Vorhersagemodell für kleine Flüsse.
Im Schnitt werden zum Schutz privater Geräte 5,10 Euro im Monat ausgegeben. Viele verzichten selbst…
![](data:image/svg+xml;charset=utf-8,<svg height="395px" width="580px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
