IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Crisis : le premier malware à cibler les machines virtuelles sous Windows

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    CEO
    Inscrit en
    Juillet 2012
    Messages
    78
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : CEO
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2012
    Messages : 78
    Points : 1 395
    Points
    1 395
    Par défaut Crisis : le premier malware à cibler les machines virtuelles sous Windows
    Crisis : le premier malware à cibler les machines virtuelles
    Sous Windows


    Préalablement connu sous le nom Morcut, "Crisis" est un rootkit malicieux qui infecte les systèmes d'exploitation Windows et Mac OS X. Il y arrive par l'utilisation d'un faux installeur d'Adobe Flash Player dissimulé dans une archive JAR numériquement signé par VeriSign. Cette dernière contient deux exécutables, un pour Mac OS X et un autre pour Windows.

    Selon le dernier rapport de Symantec Security, le logiciel malveillant se propage dans l'environnement Windows par l'utilisation du mécanisme d'autorun des disques durs amovibles, et les composants d'installation dans les dispositifs Windows Mobile. Entre autres...


    Mode opératoire de Crisis

    Car le plus intéressant, c'est son utilisation des instances de machine virtuelle pour se répandre.

    « Ça pourrait être le premier malware qui essaye de se propager en utilisant une machine virtuelle. Beaucoup de menaces s'autoterminent si elles trouvent une application de surveillance de machine virtuelle, telle que VMWare, pour éviter d'être analysées », explique Takashi Katsuki, ingénieur chez Symantec. Et d'ajouter : « ça sera donc probablement le prochain bond en avant pour les créateurs de malware ».

    En fait, le malware cherche une image de machine virtuelle VMWare dans l'ordinateur compromis, et dans le cas où il en trouve, il la monte et s'auto-copie dans cette dernière par l'utilisation de l'outil VMWare Player.

    De plus, aucune vulnérabilité dans VMWare n'est utilisée. Comme une machine virtuelle n'est qu'un fichier ou un ensemble de fichiers dans le disque de la machine-hôte, ces derniers peuvent être directement manipulés ou montés, sans avoir à lancer la machine virtuelle, comme le démontre le mode opératoire de Crisis.

    Symantec détecte le fichier JAR en tant que Trojan.Maljava. Il identifie la menace pour Mac comme OSX.Crisis et celle pour Windows en tant que W32.Crisis.

    L'entreprise préconise de mettre à jour sa base virale de toute urgence.


    Source : le rapport de Symantec

    Et vous ?

    Quel est l'impact réel de cette découverte sur les logiciels malveillants ?
    Les machines virtuelles dans les Cloud publics sont-elles menacées par cette avancée ?

  2. #2
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    Février 2012
    Messages
    16
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Février 2012
    Messages : 16
    Points : 23
    Points
    23
    Par défaut Crisis; réponse.
    Faudrait essayer de crypter les fichiers VMWare, ce serait cool.

    Au fait, un virus MacOS et Windows ? Plutot rare...
    Va savoir pourquoi il n'est pas porté sous linux, son architecture n'est pas si différente de celle de Unix(donc Mac)...

  3. #3
    Membre actif Avatar de Crazyfaboo
    Homme Profil pro
    Software Engineer
    Inscrit en
    Août 2004
    Messages
    89
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Software Engineer

    Informations forums :
    Inscription : Août 2004
    Messages : 89
    Points : 244
    Points
    244
    Par défaut
    Citation Envoyé par Hedbanging Voir le message
    Au fait, un virus MacOS et Windows ? Plutot rare...
    Va savoir pourquoi il n'est pas porté sous linux, son architecture n'est pas si différente de celle de Unix(donc Mac)...
    A priori, ça serait du à la façon que le trojan a de s'installer. Il passe en effet par un installeur Adobe Flash. Et les installeurs standalone comme ça sous Linux, ben on s'en sert le moins possible en général et si c'est pour installer Adobe Flash, ben je ne pense pas sincèrement qu'il y ait beaucoup de linuxiens qui passent par autre chose que le site d'adobe.com pour récupérer l'installeur et vu qu'on est pas sollicité par les mises à jours comme sous Windows...
    Bref, très peu d'intérêt de porter ce trojan sous linux donc vu son mode de propagation.

    Citation Envoyé par tarikbenmerar
    Les machines virtuelles dans les Cloud publics sont-elles menacées par cette avancée ?
    A priori non. Le mode de propagation étant : 1) lancement d'un fake installeur Flash et 2) contamination des machines virtuelles installées sur l'OS dans lequel l'installeur est lancé, je ne vois pas bien comment les VM publiques du Cloud pourraient être impactées car jamais un admin cloud n'installera un plugin Flash sur un OS hébergeant les VM cloud et qui n'est très certainenement ni du Mac, ni du Windows (je penserai plutôt à quelque chose type Xen).

    En fait, j'ai l'impression que ce type de virus n'est réellement intéressant que dans deux cas :
    1. Si une faille de sécurité est trouvée dans une VM permettant d'injecter du code dans le système d'exploitation hébergeant la VM et qu'une élévation de privilèges est ensuite possible sur l'OS hébergeant la VM. Ca fait beaucoup de si, mais trouver 2 failles 0-day telles que celle-ci, ça se fait bien (Stuxnet, Duqu) et ça permettrait d'infecter toutes les VM d'un coup avec un virus vraiment méchant pour les différents visiteurs...
    2. Pour infecter une VM de sorte à en modifier le comportement et notamment empêcher l'analyse d'un ou plusieurs virus en particulier... Ca me semble l'un des usages les plus probables, ça ferait gagner un peu de temps à certain virus avant que ceux-ci soit complètement désossés...

  4. #4
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Points : 1 839
    Points
    1 839
    Billets dans le blog
    2
    Par défaut
    La vache c'est qu'ils deviennent vraiment vicieux les créateur de malware...

    Bah, tant mieux, ça oblige les éditeurs d'OS et d'antivirus à faire du bouot propre
    et Dommage que ce soit nous qui devons en faire les frais

    Mais bon pour choper ce genre de saleté, il faut aller sur des sites douteux, non?
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

Discussions similaires

  1. Réponses: 3
    Dernier message: 04/04/2015, 15h56
  2. Réponses: 0
    Dernier message: 14/05/2010, 03h41
  3. Réponses: 0
    Dernier message: 14/05/2010, 03h41
  4. Machine virtuelle sous Windows XP
    Par ALLAM dans le forum Windows XP
    Réponses: 3
    Dernier message: 10/12/2009, 20h04
  5. Réponses: 0
    Dernier message: 07/07/2009, 11h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo