新病毒Crisis專攻擊VMware 虛擬機

　　Crisis是一款在 7 月下旬就開始傳播的新惡意軟件家族成員，曾被很多防毒軟件廠商報導過。該病毒主要感染運行 Mac OSX 的機器，而安全研究人員最近發現，有些新的 Crisis 變種也會感染 VMware 虛擬機和 Windows Mobile 系統。

　　有很多媒體報導一種會攻擊 VMware 虛擬機的新病毒或惡意軟件：Crisis（也叫做Morcut）。這是一款在 7 月下旬就開始傳播的新惡意軟件家族成員，曾被很多防毒軟件廠商報導過，包括趨勢科技。該病毒主要感染運行 Mac OSX 的機器，而安全研究人員最近發現，有些新的 Crisis 變種也會感染 VMware 虛擬機和 Windows Mobile 系統。

　　下面是個實用指南，主要為您提供在面對這類不明疑懼事件時需要知道的信息，以及在短期與長期階段該做的事情。

　　先來復習一下，目前的虛擬化主要是通過兩種類型的虛擬主機管理程序部署的：

　　1.第一類虛擬主機管理程序部署 – 最主要的例子是 VMware ESX、Citrix XenSource 等。可以將這類產品想成是替代一般主機操作系統（例如 Windows 或 Linux）的系統，需要直接在物理機器的硬件上運行。這種軟件本身就像是操作系統，可以直接控制硬件。隨後通過管理程序同時運行多個虛擬機。幾乎所有數 據中心都部署了這類虛擬化產品。這類軟件並不會被這個惡意程序所攻擊。我也不知道實際上有哪種在外流傳的惡意軟件可以感染第一類虛擬主機管理程序。

　　2.第二類虛擬主機管理程序部署 – 例如VMware Workstation、VMware Player 等，這類虛擬主機管理程序需要安裝在標准操作系統（例如 Windows 或 Linux）之上，再運行多個虛擬機。而這第二種類型是惡意軟件能夠感染的。首先，主機操作系統先受到感染。可能是一次已知的 Windows 或 Mac OS 攻擊（所以要先檢測操作系統，然後安裝對應的可執行文件）。接著會尋找 VMDK 文件，並利用虛擬主機工具（VMplayer）感染虛擬機。而這類型感染是可以利用更新防病毒軟件的方法加以預防的。

　　即使這個受感染的虛擬機被移動，並轉為在第一類虛擬主機管理程序中運行（這只是一個假設性的討論），它也會被限制在虛擬機裡，因為端點安全程序會防止虛擬機間的網絡通訊以及 I/O 通訊。

　　那麼，這有什麼大不了的？

　　虛擬機就和物理機器一樣，如果不修補漏洞，一樣會讓惡意軟件感染操作系統或應用程序，或是會被針對用戶的社會工程學攻擊所入侵。而針對這次的問題，有兩個因素讓 Crisis 顯得既新穎又獨特：

　　首先，該惡意軟件會明確地找到存在的虛擬機，並試圖加以感染。

　　其次，它會通過底層基礎架構感染虛擬機，也就是通過修改 VMDK 文件的方式，而不是通過傳統手段，例如遠程網絡、網頁訪問，或文件分享等方式進入虛擬機。