有很多媒體報(bào)導(dǎo)一種會(huì)攻擊 VMware 虛擬機(jī)的新病毒或惡意軟件：Crisis(也叫做Morcut)。

　　這是一款在7月下旬就開(kāi)始傳播的新惡意軟件家族成員，曾被很多防毒軟件廠商報(bào)導(dǎo)過(guò)。該病毒主要感染運(yùn)行Mac OSX的機(jī)器，而安全研究人員最近發(fā)現(xiàn)，有些新的Crisis變種也會(huì)感染VMware虛擬機(jī)和Windows Mobile系統(tǒng)。

　　下面是個(gè)實(shí)用指南，主要為您提供在面對(duì)這類(lèi)不明疑懼事件時(shí)需要知道的信息，以及在短期與長(zhǎng)期階段該做的事情。

　　先來(lái)復(fù)習(xí)一下，目前的虛擬化主要是通過(guò)兩種類(lèi)型的虛擬主機(jī)管理程序部署的：

　　第一類(lèi)虛擬主機(jī)管理程序部署：最主要的例子是 VMware ESX、Citrix XenSource 等。可以將這類(lèi)產(chǎn)品想成是替代一般主機(jī)操作系統(tǒng)(例如 Windows 或 Linux)的系統(tǒng)，需要直接在物理機(jī)器的硬件上運(yùn)行。這種軟件本身就像是操作系統(tǒng)，可以直接控制硬件。隨后通過(guò)管理程序同時(shí)運(yùn)行多個(gè)虛擬機(jī)。幾乎所有數(shù)據(jù)中心都部署了這類(lèi)虛擬化產(chǎn)品。這類(lèi)軟件并不會(huì)被這個(gè)惡意程序所攻擊。我也不知道實(shí)際上有哪種在外流傳的惡意軟件可以感染第一類(lèi)虛擬主機(jī)管理程序。

　　第二類(lèi)虛擬主機(jī)管理程序部署：例如VMware Workstation、VMware Player 等，這類(lèi)虛擬主機(jī)管理程序需要安裝在標(biāo)準(zhǔn)操作系統(tǒng)(例如 Windows 或 Linux)之上，再運(yùn)行多個(gè)虛擬機(jī)。而這第二種類(lèi)型是惡意軟件能夠感染的。首先，主機(jī)操作系統(tǒng)先受到感染。可能是一次已知的 Windows 或 Mac OS 攻擊(所以要先檢測(cè)操作系統(tǒng)，然后安裝對(duì)應(yīng)的可執(zhí)行文件)。接著會(huì)尋找 VMDK 文件，并利用虛擬主機(jī)工具(VMplayer)感染虛擬機(jī)。而這類(lèi)型感染是可以利用更新防病毒軟件的方法加以預(yù)防的。

　　即使這個(gè)受感染的虛擬機(jī)被移動(dòng)，并轉(zhuǎn)為在第一類(lèi)虛擬主機(jī)管理程序中運(yùn)行(這只是一個(gè)假設(shè)性的討論)，它也會(huì)被限制在虛擬機(jī)里，因?yàn)槎它c(diǎn)安全程序會(huì)防止虛擬機(jī)間的網(wǎng)絡(luò)通訊以及 I/O 通訊。

　　那么，這有什么大不了的?

　　虛擬機(jī)就和物理機(jī)器一樣，如果不修補(bǔ)漏洞，一樣會(huì)讓惡意軟件感染操作系統(tǒng)或應(yīng)用程序，或是會(huì)被針對(duì)用戶的社會(huì)工程學(xué)攻擊所入侵。而針對(duì)這次的問(wèn)題，有兩個(gè)因素讓 Crisis 顯得既新穎又獨(dú)特：

　　首先，該惡意軟件會(huì)明確地找到存在的虛擬機(jī)，并試圖加以感染。

　　其次，它會(huì)通過(guò)底層基礎(chǔ)架構(gòu)感染虛擬機(jī)，也就是通過(guò)修改 VMDK 文件的方式，而不是通過(guò)傳統(tǒng)手段，例如遠(yuǎn)程網(wǎng)絡(luò)、網(wǎng)頁(yè)訪問(wèn)，或文件分享等方式進(jìn)入虛擬機(jī)。

　　除了這些有趣的特性外，我們不認(rèn)為這個(gè)惡意軟件有什么明顯的威脅。在真實(shí)世界里的感染率非常低(小于 100 個(gè)案例)，所以它看來(lái)不會(huì)出現(xiàn)大規(guī)模擴(kuò)散，也不可能有迅速傳播的能力。話雖如此，如果擔(dān)心的話，您還是應(yīng)該采取一些預(yù)防措施：

　　◆保護(hù)您的虛擬機(jī)

　　您珍貴的應(yīng)用程序和數(shù)據(jù)是所有攻擊的最終目標(biāo)，Crisis 只是讓目標(biāo)更加明確。要確認(rèn)在物理機(jī)器和虛擬主機(jī)上有防病毒軟件或其他層次的保護(hù)，這樣才能保障安全，例如您可以使用趨勢(shì)科技 Deep Security或趨勢(shì)科技 OfficeScan。

　　◆限制對(duì) VMDK 文件的訪問(wèn)

　　雖然 Crisis 只針對(duì)一般主機(jī)上的虛擬主機(jī)管理程序，而非數(shù)據(jù)中心。但這里的根本問(wèn)題是，任何可訪問(wèn) VMDK 文件的人都可以對(duì)您的虛擬桌面或虛擬機(jī)(包括 vSphere 或 View)做出不好的事情。

　　Morcut/Crisis(危機(jī))病毒小檔案

　　Morcut/Crisis(危機(jī))病毒會(huì)感染 VMWare 虛擬機(jī)，并且可以在多個(gè)系統(tǒng)平臺(tái)上運(yùn)行傳播。Morcut/Crisis(危機(jī))有以下兩點(diǎn)與普通病毒不同：

　　1、目標(biāo)明確，它會(huì)搜索是否有虛擬機(jī)存在并嘗試感染。

　　2、通過(guò)基礎(chǔ)架構(gòu)對(duì)虛擬機(jī)進(jìn)行感染。例如通過(guò)修改 .vmdk 文件，而不是通過(guò)傳統(tǒng)手段，例如遠(yuǎn)程控制或文件分享等方式入侵虛擬機(jī)。

　　該病毒通過(guò)直接修改在宿主機(jī)物理服務(wù)器上的 VMDK 文件對(duì)虛擬機(jī)進(jìn)行感染。也就是說(shuō)，如果某臺(tái)宿主機(jī)物理服務(wù)器(Windows/MAC OS)感染了該病毒，并且機(jī)器上安裝了 VMWARE 的工具(例如 WORKSTATION、vSphere、View)，則該機(jī)器有權(quán)限訪問(wèn)的虛擬機(jī)都有被感染的可能。感染病毒后，該虛擬機(jī)會(huì)有信息泄漏的風(fēng)險(xiǎn)，同時(shí)可能會(huì)被植入后門(mén)程序。

　　該病毒對(duì)虛擬機(jī)的傳播依賴 VMWARE 提供的正常功能，不存在對(duì)漏洞的利用，所以被感染的虛擬機(jī)并不會(huì)將病毒傳播給其他虛擬機(jī)(但可能由于宿主機(jī)物理服務(wù)器感染，所以其他虛擬機(jī)也會(huì)被感染)。

　　該病毒的主要惡意行為是竊取信息和后門(mén)植入，不管是在虛擬機(jī)還是在宿主機(jī)物理服務(wù)器中，病毒的行為都是一樣的。

　　惡意行為

　　首先，該病毒會(huì)利用一個(gè)惡意的 Java applet(被命名為 JAVA_MORCUT.A*)抵達(dá)計(jì)算機(jī)。這個(gè) Java applet 中包含的代碼會(huì)檢測(cè)目標(biāo)計(jì)算機(jī)運(yùn)行的是什么操作系統(tǒng)。

　　在Mac系統(tǒng)上，Java applet 會(huì)釋放并運(yùn)行 OSX_MORCUT.A，該病毒的惡意行為與大多數(shù) Windows 平臺(tái)上的后門(mén)程序類(lèi)似。OSX_MORUCT.A 具有的最不尋常的行為是能夠打開(kāi)系統(tǒng)麥克風(fēng)，可能是為了進(jìn)行信息盜竊。

　　在 Windows 系統(tǒng)上，這個(gè) Java applet 會(huì)釋放 WORM_MORCUT.A，接著釋放其它若干文件，其中之一被命名為 WORM_MORCUT.A;另一些組件文件被命名為 RTKT_MORCUT.A**。它的主要功能是通過(guò) USB 和虛擬機(jī)進(jìn)行傳播。它可以搜索系統(tǒng)上的 VMware 虛擬磁盤(pán)，并將自身的病毒副本釋放到虛擬機(jī)中。Windows 版本的 MORCUT 和 Mac 版本一樣，也能夠錄制音頻。

　　技術(shù)細(xì)節(jié)

　　被命名為 JAVA_MORCUT.A 的 JAVA applet 會(huì)下載一個(gè)壓縮包，其中包含兩個(gè)文件：運(yùn)行在 MAC 系統(tǒng)上的后門(mén)程序 OSX_MORCUT.A 和運(yùn)行在 Windows 系統(tǒng)上的蠕蟲(chóng)病毒(命名為 WORM_MORCUT.A)。接著該文件會(huì)釋放以下組件文件：

　　IZsROY7X.-MP (32位DLL)定義為WORM_MORCUT.A

　　t2HBeaM5.OUk (64位DLL)定義為WORM_MORCUT.A

　　eiYNz1gd.Cfp

　　WeP1xpBU.wA (32位驅(qū)動(dòng)程序)檢測(cè)為RTKT_MORCUT.A

　　6EaqyFfo.zIK (64位驅(qū)動(dòng)程序)檢測(cè)為RTKT_MORCUT.A

　　lUnsA3Ci.Bz7 (32位DLL)非惡意文件

　　根據(jù)趨勢(shì)科技的初步分析，WORM_MORCUT.A 具有通過(guò) USB 設(shè)備和 VMware 虛擬磁盤(pán)傳播的能力。它會(huì)使用驅(qū)動(dòng)程序組件 RTKT_MORCUT.A 掛載到虛擬磁盤(pán)上。雖然該病毒具有較強(qiáng)的傳播能力，但我們沒(méi)有發(fā)現(xiàn)大量感染 WORM_MORCUT.A 和 TROJ_MORCUT.A 的情況。

　　注意

　　該病毒在感染過(guò)程中并不會(huì)利用漏洞。此外，只有 VMWare 的虛擬機(jī)會(huì)受到該病毒的威脅，其他虛擬機(jī)平臺(tái)不受影響。而且?guī)缀跛胁渴鹆颂摂M機(jī)的數(shù)據(jù)中心都不會(huì)受到影響。

　　解決方案

　　請(qǐng)限制 VMDK 的訪問(wèn)。“危機(jī)”這種病毒只針對(duì)宿主機(jī)的虛擬機(jī)管理程序，而不針對(duì)數(shù)據(jù)中心，它會(huì)使任何可以訪問(wèn) .vmdk 文件的程序在您的虛擬磁盤(pán)或虛擬機(jī)上執(zhí)行惡意行為，其中包括 vSphere 或 View。

　　保護(hù)您的虛擬機(jī)。任何攻擊的最終目標(biāo)是您有價(jià)值的應(yīng)用程序和數(shù)據(jù)，“危機(jī)”的目標(biāo)更為明確。請(qǐng)務(wù)必安裝反病毒軟件和其他安全產(chǎn)品，借此保護(hù)您服務(wù)器和桌面的安全，例如您可以使用趨勢(shì)科技 Deep Security或趨勢(shì)科技 OfficeScan我。