Crisis, un malware che attacca anche VMware virtual machine

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/crisis-un...ine_43416.html

Il malware Crisis sarebbe in grado di rilevare la presenza di immagini VMware virtual machine, montare tali volumi e copiare all'interno dell'immagine i propri componenti

Click sul link per visualizzare la notizia.

[frankie]

ma in VM dal sistema main infetta il guest oppure anche viceversa?

Sono due livelli ben diversi di gravità!

[xcavax]

dal grafico e da quello scritto sembrerebbe che l'infezione sia da host verso guest.
se fosse il contrario andrebbe a farsi benedire tutto il discorso di vm completamente slegata dall'host oppure in vmware c'è un bel bug!

[Mikon]

se l'infezione e' da guest verso host, non basterebbe istallare sempre vmware dentro sandbox per stare tranquilli al 100% ?

[Dave83]

E fu così che i Mac infestarono di virus tutto il mondo conosciuto...

[gianluca-1986]

Quote:

Quanto osservato per Crisis è importante e deve portare l'attenzione dell'utente sul reale livello di sicurezza offerto dagli ambienti virtualizzati, che da taluni vengono erroneamente indicati come immuni al malware

sembra un pò troppo allarmistica come notizia...
ok la replica da host a guest, ma arrivare a frasi come quella sopra
poi un ambiente virtualizzato basato su vSphere, a livello di sicurezza, è ben lontano da uno con windows/osx/linux e vmw workstation/virtualbox/parallels
evitiamo di fare di tutta l'erba un fascio

[evil weasel]

questo è l'articolo pubblicato sul sito Symantec: http://www.symantec.com/connect/blog...rtual-machines

l'infezione è da host a VM, non da VM ad host.

[gianluca-1986]

Quote:

Originariamente inviato da evil weasel

questo è l'articolo pubblicato sul sito Symantec: http://www.symantec.com/connect/blog...rtual-machines

l'infezione è da host a VM, non da VM ad host.

quindi in parole povere "apre" il file vmdk e ci piazza dentro una copia di se stesso...
niente di catastrofico quindi

tra l'altro del grafico pare che funzioni solo se la macchina host sia windows...quindi ancora meno di cui preoccuparsi!

[evil weasel]

Quote:

Originariamente inviato da gianluca-1986

quindi in parole povere "apre" il file vmdk e ci piazza dentro una copia di se stesso...
niente di catastrofico quindi

tra l'altro del grafico pare che funzioni solo se la macchina host sia windows...quindi ancora meno di cui preoccuparsi!

esatto

[biffuz]

Quote:

Originariamente inviato da gianluca-1986

quindi in parole povere "apre" il file vmdk e ci piazza dentro una copia di se stesso...

No, è ancora più semplice: se rileva una VM in esecuzione si collega ad essa come un drive esterno ed è poi Windows sulla VM che esegue l'autorun. Suppongo sia una ISO che viene "inserita" nel lettore virtuale.

Modificare il VMDK sarebbe spaventosamente più complicato, senza contare il fatto che dovrebbe sapere come modificare anche l'NTFS.

Quote:

tra l'altro del grafico pare che funzioni solo se la macchina host sia windows...quindi ancora meno di cui preoccuparsi!

Virtualizzare Windows su Windows è una pratica molto diffusa in ambienti lavorativi, prima solo tra sviluppatori e sistemisti ma ormai ho già visti diversi utenti che virtualizzano XP su 7 per usare questo o quel programma.

E a ben pensarci, VMWare è più usato in ambito lavorativo che casalingo dove si preferisce VirtualBox, così come Windows Mobile. Sembra proprio che il target di questo malware siano proprio gli ambienti lavorativi.

[gianluca-1986]

Quote:

Originariamente inviato da biffuz

No, è ancora più semplice: se rileva una VM in esecuzione si collega ad essa come un drive esterno ed è poi Windows sulla VM che esegue l'autorun. Suppongo sia una ISO che viene "inserita" nel lettore virtuale.

Modificare il VMDK sarebbe spaventosamente più complicato, senza contare il fatto che dovrebbe sapere come modificare anche l'NTFS.



Virtualizzare Windows su Windows è una pratica molto diffusa in ambienti lavorativi, prima solo tra sviluppatori e sistemisti ma ormai ho già visti diversi utenti che virtualizzano XP su 7 per usare questo o quel programma.

E a ben pensarci, VMWare è più usato in ambito lavorativo che casalingo dove si preferisce VirtualBox, così come Windows Mobile. Sembra proprio che il target di questo malware siano proprio gli ambienti lavorativi.

beh ma il mio confronto era tra vsphere/hiper-v/kvm in ambienti di produzione e vmware ecc in ambienti "desktop"&simili
siccome i primi ne sono esclusi, per quel che mi riguarda non è niente di cui preoccuparmi seriamente (sono un sistemista )
il vmdk alla fine è un file, una volta che sai com'è fatto lo manipoli come vuoi
certo, non è come aggiungere una riga ad un .txt

[shodan]

In effetti questa mi sembra una non-notizia... è ovvio che, una volta compromesso il sistema host, qualunque guest sia a rischio...

Ciao.

[killeragosta90]

Perdonate la battuta ma qui la domanda "ci girerà Crisis??" ci sta tutta!

[hardstyler]

sapete una cosa? mi sa che me lo son preso un'ora fa!

Può essere una casualità, ci mancherebbe, ma la situazione è questa:

-PC con win 7 64, AVG IN TERNET SECURITY ATTIVA
-VMWARE workstation attivo ed è già caricata una VM di win 7 x64 che uso per fare test ecc...

ho scaricate diverse cose per cui non ho ancora trovato il file colpevole però posso dirvi una cosa:

era una dll apparentemente infetta e AVG me l'ha segnalata dicendo che un virus tipo ID.VIRUS. e poi dei numeri e lettere, comunque trovabile nel motore di ricerca avg nè da altre parti.

quando ho eseguito il programma, questo deve aver richiamato la dll tantè che anche l'exe è divenuto infetta con un file chiamato da AVG tipo trojan NSANT o qualcosa del genere. comunque sia ne ha rilevati 2 con tali nomi:

IDP.GENERIC.BB9A7B69
IDP.VIRUS.A4CF8905

come sia uscita quell'NSANT non ho idea ma me lo aveva scritto nella finestrella pop-up.

Sapete che è successo???

nonostante AVG li abbia intercettati, avevo la VM attiva con win7 e win 7 dentro la VM mi da errore che non riesce a caricare la ISO della VM, attenzione però che tentava di caricare la iso da cui ho installato win 7 nella VM e non un altra iso stramba.

Sono usciti nella VM diversi avvisi che non riesce a caricare la iso, ho fatto sempre ANNULLA e finita li.

Anche in win 7 64 funzionante nella VM ho AVG IS e ora dopo la scansione non ha trovato nulla!!!

Ripeto, può essere un puro caso, qualche volta mi era capito anche con linux virtualizzato che mi richiedesse la iso, si perchè nelle impostazione delle VM, una volta installati gli OS, cancello pure l'unità DVD virtuale!

SE qualcuno sa dare qualche spiegazione!