Cirsis/MORCUT 惡意軟體掛載虛擬機器

作者：Christopher Daniel So（趨勢科技威脅反應工程師）

趨勢科技之前接獲警報，出現了會在VMware虛擬機器內散播的Crisis/MORCUT惡意軟體。我們在之前關於Crisis/MORCUT的文章中說明了這是一個專門針對Mac OSX系統的後門程式。而現在，我們手上有可以在Windows內執行的Crisis/MORCUT樣本，有趣的是，它會去掛載虛擬硬碟。它透過檢查VMware設定檔來找到主機上所安裝的所有虛擬機器位置。

目前尚未能確認這個變種病毒是如何進入系統的。但似乎是從下載一個惡意Java Applet（偵測為JAVA_AGENT.NTW）開始。Java Applet內包含兩個檔案：mac – 後門程式OSX_MORCUT.A和win – 被偵測為WORM_MORCUT.A的蠕蟲程式。檔案win可以在Windows作業系統上執行。然後這個檔案會產生以下元件檔案：

IZsROY7X.-MP – （32位元DLL）現在被偵測為WORM_MORCUT.A

t2HBeaM5.OUk – （64位元DLL）現在被偵測為WORM_MORCUT.A
eiYNz1gd.Cfp
WeP1xpBU.wA – （32位元驅動程式）現在被偵測為TROJ_MORCUT.A
6EaqyFfo.zIK – （64位元驅動程式）現在被偵測為TROJ_MORCUT.A
lUnsA3Ci.Bz7 – （32位元DLL）非惡意檔案

根據趨勢科技的初步分析，WORM_MORCUT.A可以經由USB裝置和VMware虛擬硬碟來散播。它利用驅動程式元件 – TROJ_MORCUT.A來掛載虛擬硬碟。雖然這樣的能力讓它看來可以更積極的散播，但是在這文章撰寫時，我們還沒有看到太多WORM_MORCUT.A和TROJ_MORCUT.A的感染案例。

正如之前在我們的雲端安全部落格文章中所提到的: 會攻擊VMware虛擬機器的新病毒:Crisis（又稱為Morcut），我們的初步分析顯示這個Crisis/MORCUT變種可能會影響第二型的虛擬機器管理程式部署。由趨勢科技 Deep Security和趨勢科技OfficeScan所提供的防護可以確保趨勢科技的客戶不受Crisis/MORCUT惡意軟體所威脅。

下載WORM_MORCUT.A的Java檔案現在被偵測為JAVA_MORCUT.A。WORM_MORCUT.A所產生的檔案被偵測為RTKT_MORCUT.A。最新的病毒碼可以清理這些檔案。。OfficeScan用戶應該更新到最新的病毒碼。所有的病毒碼都可以在我們的下載中心取得。

＠原文出處：New Crisis/MORCUT Malware Mounts in Virtual Machines

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁上按讚：https://www.facebook.com/trendmicrotaiwan