趨勢科技 TrendMicro | 資安趨勢部落格

會攻擊VMware虛擬機器的新病毒:Crisis（又稱為Morcut）

2012 年 08 月 27 日2012 年 08 月 28 日趨勢科技 TrendMicro

替你的VMware環境解除「危機」

在8月21日，有許多媒體報導一種會攻擊VMware虛擬機器的新病毒或惡意軟體。「Crisis」（又稱為Morcut）是在七月下旬就開始散播的新惡意軟體家族，曾經被許多防毒廠商所報導過，包括趨勢科技，主要是會感染Mac OSX機器。而安全研究人員最近發現，有些新的Crisis變種也會感染VMware虛擬機器和Windows Mobile系統。

下面是個實用的指南，能夠提供你在面對這類不明疑懼（FUD）事件時所該知道的資訊，以及在短期與長期階段所該做的事情。

先來複習一下，今日的虛擬化主要是透過兩種類型的虛擬主機管理程式（Hypervisor）佈署：

第一類的虛擬主機管理程式部署 – 最明顯的例子是VMware ESX、Citrix XenSource等。可以將這類產品想成是替代一般主機作業系統（像Windows或Linux），直接在實體機器的硬體上執行。這種軟體就像是作業系統，可以直接控制硬體。管理程式再來同時執行多個虛擬機器。幾乎所有資料中心都是部署這類虛擬化產品。這類軟體並不會被這隻惡意軟體所攻擊。我也不知道實際上有那種在外流通的惡意軟體可以感染第一類虛擬主機管理程式。
第二類的虛擬主機管理程式部署 – 例如VMware Workstation、VMware Player等，這類的虛擬主機管理程式是安裝在個標準的作業系統上（像Windows或Linux），再來執行多個虛擬機器。而這第二種類型是惡意軟體所會感染的。首先，主機作業系統先受到感染。可能是一次已知的Windows或Mac OS攻擊（所以要先偵測作業系統，然後安裝對應的可執行檔）。接著它會尋找VMDK檔案，並且利用虛擬主機工具（VMplayer）來感染虛擬機器。而這類型的感染是可以利用更新的防毒軟體來加以阻擋的。

即使這個受感染的虛擬機器被移動並執行在第一類虛擬主機管理程式（假設性的討論），它也會被限制在虛擬機器裡面，因為端點安全程式會防止虛擬機器間的網路流量以及I/O流量。

那麼，有什麼大不了的？

虛擬機器就跟實體機器一樣，沒有修補漏洞一樣會讓惡意軟體感染作業系統或是應用程式，或是會被針對使用者的社交工程攻擊成功。有兩件事讓「Crisis」顯得既新且獨特：

首先，這惡意軟體會明確的尋找虛擬機器的存在，並試圖加以感染
第二，它會透過底層基礎架構來感染虛擬機器，也就是透過修改vmdk檔案，而不是透過傳統手段，如遠端網路、網頁存取或檔案分享來進入虛擬機器。

除了這些有趣的特性之外，我們不認為這惡意軟體有立即性的威脅。在真實世界裡的發病率非常低（小於100個案例），所以它看來不會出現大規模的擴散，或有能力去迅速的散播。話雖如此，如果擔心的話，你還是應該採取一些預防措施：

防護你的虛擬機器 – 你珍貴的應用程式和資料是所有攻擊的最終目標，「Crisis」只是讓目標更加明確。要確認在實體機器和虛擬主機上有防毒軟體或其他層次的保護以確保安全，例如趨勢科技 Deep Security或趨勢科技OfficeScan。
限制對VMDK檔案的存取 – 雖然「Crisis」只針對一般主機上的虛擬主機管理程式，而非資料中心。但根本的問題是，任何可存取vmdk檔案的人都可以對你的虛擬桌面或虛擬機器（包括vSphere或View）做出不好的事情。

＠原文參考：Averting a ‘Crisis’ for your VMware environment作者：Warren Wu（資料中心事業群產品協理）

Morcut/Crisis（危機）病毒小檔案

Morcut/Crisis（危機）病毒會感染VMWare虛擬機器並且可以在多個系統平臺上運行傳播。Morcut/Crisis（危機）有以下兩點與普通病毒不同：

1、目標明確，它會搜索是否有虛擬機器存在並嘗試感染。

2、通過基礎架構對虛擬機器進行感染。例如通過修改.vmdk檔而不是通過傳統手段如遠端控制或檔共用的方法來入侵虛擬機器。

該病毒通過直接修改在HOST物理伺服器上的VMDK檔對虛擬機器進行感染。也就是說，如果某台HOST物理伺服器（Windows/MAC OS）感染了該病毒，且機器上安裝了VMWARE的工具（WORKSTATION、vSphere、View）等，則該機器有許可權訪問的虛擬機器，都有被感染的風險。感染病毒後,該虛擬機器會有資訊洩漏的風險同時被植入後門

該病毒對虛擬機器的傳播是依賴VMWARE提供的功能，不存在對漏洞的利用，所以一個被感染的VM並不會將病毒傳播到其他VM上。（但可能由於HOST物理伺服器感染，所以其他VM也會被感染）

該病毒的主要惡意行為為竊取資訊和後門，不管是在VM中還是在HOST物理伺服器中，病毒的行為都是一樣的。

惡意行為

最初，它是利用一個惡意的Java applet（被檢測為JAVA_MORCUT.A*）來抵達電腦。這個Java applet中包含的代碼會檢測目的電腦運行的是什麼作業系統。

在Mac系統上， Java applet會釋放並且運行OSX_MORCUT.A，該病毒的惡意行為與大多數Windows平臺上的後門程式類似。OSX_MORUCT.A具有最不尋常的行為是能夠打開系統麥克風，可能是為了進行資訊盜竊。

在Windows系統上，這個Java applet會釋放WORM_MORCUT.A。接著釋放其它若干檔，其中之一被檢測為WORM_MORCUT.A；另一些元件檔被檢測為RTKT_MORCUT.A**。它的主要功能是通過USB和虛擬機器進行傳播。它可以搜尋系統上的VMware虛擬磁片並且將自身的病毒副本釋放到虛擬機器中。Windows版本的MORCUT和Mac版本一樣，也能夠錄製音訊。

技術細節

被檢測為JAVA_MORCUT.A的JAVA applet會下載一個壓縮包，包含兩個檔：運行在MAC系統上的後門程式OSX_MORCUT.A和運行在Windows系統上的蠕蟲病毒（檢測為WORM_MORCUT.A）。接著，該檔會釋放以下組件檔：

IZsROY7X.-MP （32位DLL）定義為WORM_MORCUT.A

t2HBeaM5.OUk （64位DLL）定義為WORM_MORCUT.A

eiYNz1gd.Cfp

WeP1xpBU.wA （32位元驅動程式）檢測為RTKT_MORCUT.A

6EaqyFfo.zIK （64位元驅動程式）檢測為RTKT_MORCUT.A

lUnsA3Ci.Bz7 （32位DLL）非惡意文件

根據趨勢科技的初步分析，WORM_MORCUT.A具有透過USB設備和VMware虛擬磁片傳播的能力。它使用的驅動程式元件RTKT_MORCUT.A掛載到虛擬磁片上。雖然該病毒具有較強的傳播能力，但是我們沒有發現大量感染WORM_MORCUT.A和TROJ_MORCUT.A的情況。

注意

該病毒在感染過程中並不會利用漏洞。此外，只有VMWare的虛擬機器會受到該病毒的威脅，其他虛擬機器平臺不受影響。此外，幾乎所有的虛擬機器部署的資料中心不會受到影響。

解決方案

限制VMDK訪問 “危機”只針對主機的虛擬機器管理程式，而不是資料中心，它會使任何可以訪問.vmdk檔的程式在您的虛擬磁片或虛擬機器上執行惡意行為，其中包括vSphere或View。

保護您的虛擬機器任何攻擊的最終目標是您有價值的應用程式和資料，“危機”的目標更為明確。確定是否安裝反病毒軟體和其他方面的安全產品來保護您伺服器和桌面的安全，如趨勢科技 Deep Security或趨勢科技OfficeScan。

◎ 歡迎加入趨勢科技社群網站

Android裝置上的七種惡意軟體類型與排行

2012 年 08 月 27 日2012 年 08 月 27 日趨勢科技 TrendMicro

短短一個月內，Android上的惡意軟體數量就翻了一倍，從一萬變到兩萬。快速成長的Android威脅已經是個值得關注的焦點了。

趨勢科技曾經預測Android惡意軟體將會在今年此時來到一萬一千個，當時這個看來不可思議的數字也輕易的惹來嘲笑。但事實證明，當年這看來過高的預測，離我們現在所實際看到的兩萬五千個Android惡意軟體數量都還有一段距離。

趨勢科技也曾經報導過網路犯罪份子用來誘騙使用者下載惡意行動軟體的各種手段。官方Android軟體商店 – Google Play變成有毒應用程式的平台。假Skype、Instagram、憤怒鳥上太空、Farm Frenzy和其他假知名應用程式被用來發送簡訊到加值服務，讓使用者產生多餘的費用。使用者好奇的天性也讓間諜應用程式（像是Spy Tool和Spy Phone Pro+）利用來賺錢。設計複雜的BotPanda會隱藏自己的行為，打開被破解過的裝置加以遠端存取。

我們列出本季Android裝置上的七種惡意軟體類型。幾乎有一半的數量是加值服務濫用軟體，會替使用者訂閱他們並不想要的服務。廣告軟體，最近變多了，因為它們會不停地派送偽裝成緊急通知的廣告，排名第二。資料竊取軟體、惡意下載軟體、惡意破解軟體（rooter）、點擊詐騙軟體還有間諜工具跟在其後。這些行動軟體會帶來個人和金融資料被竊的危險。

Android惡意軟體隨著Android市佔率的上升而一起成長。然而，趨勢科技發現只有五分之一的Android裝置有裝安全軟體。使用者必須要了解攻擊者如何利用應用程式來竊取資料，才能避免落入他們的陷阱之中。Google他們也會利用一些功能來維護Android環境的安全，像是Bouncer服務或自動掃描、沙箱技術、權限系統和遠端惡意軟體移除。

繼續閱讀

Cirsis/MORCUT 惡意軟體掛載虛擬機器

2012 年 08 月 23 日2012 年 09 月 05 日趨勢科技 TrendMicro

作者：Christopher Daniel So（趨勢科技威脅反應工程師）

趨勢科技之前接獲警報，出現了會在VMware虛擬機器內散播的Crisis/MORCUT惡意軟體。我們在之前關於Crisis/MORCUT的文章中說明了這是一個專門針對Mac OSX系統的後門程式。而現在，我們手上有可以在Windows內執行的Crisis/MORCUT樣本，有趣的是，它會去掛載虛擬硬碟。它透過檢查VMware設定檔來找到主機上所安裝的所有虛擬機器位置。

目前尚未能確認這個變種病毒是如何進入系統的。但似乎是從下載一個惡意Java Applet（偵測為JAVA_AGENT.NTW）開始。Java Applet內包含兩個檔案：mac – 後門程式OSX_MORCUT.A和win – 被偵測為WORM_MORCUT.A的蠕蟲程式。檔案win可以在Windows作業系統上執行。然後這個檔案會產生以下元件檔案：

IZsROY7X.-MP – （32位元DLL）現在被偵測為WORM_MORCUT.A

t2HBeaM5.OUk – （64位元DLL）現在被偵測為WORM_MORCUT.A
eiYNz1gd.Cfp
WeP1xpBU.wA – （32位元驅動程式）現在被偵測為TROJ_MORCUT.A
6EaqyFfo.zIK – （64位元驅動程式）現在被偵測為TROJ_MORCUT.A
lUnsA3Ci.Bz7 – （32位元DLL）非惡意檔案

根據趨勢科技的初步分析，WORM_MORCUT.A可以經由USB裝置和VMware虛擬硬碟來散播。它利用驅動程式元件 – TROJ_MORCUT.A來掛載虛擬硬碟。雖然這樣的能力讓它看來可以更積極的散播，但是在這文章撰寫時，我們還沒有看到太多WORM_MORCUT.A和TROJ_MORCUT.A的感染案例。

正如之前在我們的雲端安全部落格文章中所提到的: 會攻擊VMware虛擬機器的新病毒:Crisis（又稱為Morcut），我們的初步分析顯示這個Crisis/MORCUT變種可能會影響第二型的虛擬機器管理程式部署。由趨勢科技 Deep Security和趨勢科技OfficeScan所提供的防護可以確保趨勢科技的客戶不受Crisis/MORCUT惡意軟體所威脅。

繼續閱讀

假的 WhatsApp for Facebook正在塗鴉牆流傳

2012 年 08 月 23 日2012 年 08 月 23 日趨勢科技 TrendMicro

趨勢科技發現有個詐騙攻擊目前正在Facebook上出現。值得注意的是，這次詐騙的誘餌是利用知名手機傳訊軟體 – WhatsApp。當你看到朋友在Facebook發出使用”WhatsApp for Facebook”的訊息,千萬不要好奇也跟進點選該冒牌程式的授權要求,以免更多垃圾訊息在你和朋友間流傳。根據趨勢科技表示,這個網站最終會引導到星巴克等問卷調查網路釣魚（Phishing）(就是詐騙網頁)要求使用者輸入手機號碼，在過程中就會訂閱使用者並不需要的廣告訊息服務。這會讓使用者付出額外的費用給這些他們並沒有要求的服務。

這次詐騙攻擊就像是典型的騙局：使用者會被導到假WhatsApp Facebook頁面，並要求使用者的授權。一旦應用程式獲得所需權限，就會秀出其他看來使用WhatsApp應用程式的Facebook使用者，通常是受駭者自己的好友。

有趣的是，使用者會被導到看來是針對行動用戶所做的使用者協議網頁。這網頁會出現各種不同行動作業系統的圖示，讓它看起來更像是正常網頁。

當使用者同意並授權給這應用程式後，接著會根據受駭者的位置而將其導到不同網頁。對於位在美國、澳洲、紐西蘭、德國和英國的使用者，他們會被導到假的星巴克禮物卡網頁。而其他國家的使用者則會被導到不同的網頁:

: 當使用者同意並授權給這應用程式後，接著會根據受駭者的位置而將其導到不同網頁。比如假的星巴克禮物卡網頁

如果你要更進一步就得完成所謂的問卷,這些問卷內容其實就是進一步騙取你訂閱手機簡訊服務。

趨勢科技主動式雲端截毒服務 Smart Protection Network可以保護使用者免受此種威脅，阻止使用者連上問卷調查詐騙網站。因為有超過九億的使用者，Facebook自然而然會成為這些詐騙攻擊的目標。想要了解更多關於如何保護自己，免受這些威脅（尤其是問卷調查詐騙）所駭的資訊，可以參考我們的常見問題集 – 針對社群網站用戶的問卷調查詐騙。

趨勢科技之前曾經報導過假Android應用程式網頁會偽裝成受歡迎的手機軟體，像是Instagram和Angry Birds Space憤怒鳥星際版/太空版。但這次的新騙局顯示它不會跟之前一樣，在Facebook上散播通往假Android應用程式的連結。

＠原文出處：Scam Disguised As WhatsApp for Facebook

作者：Paul Pajares（詐騙分析師）

@延伸閱讀

Facebook詐騙不再來:PC-cillin 2012 雲端版自動掃描臉書塗鴉牆,惡意連結一目了然
 假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
 [ 社交網站安全指南 1 ] 你忘了三年前上傳的圖片，駭客卻記得
 [ 社交網站安全指南 2 ] 可在 Facebook 使用的Email 帳號黑市價碼較高
 [ 社交網站安全指南 3] 不會對電話詐騙者回答的私人問題，也不要公開在社交網站(減少社交網站風險的四個方法)

【立即下載試用PC-clin 2012 雲端版臉書地雷區 bye bye~】

◎ 免費下載防毒軟體：歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】

@參考推文

◎ 歡迎加入趨勢科技社群網站

自帶設備（BYOD）：企業用戶的安全缺口？

2012 年 08 月 23 日2012 年 08 月 13 日趨勢科技 TrendMicro

自帶設備（BYOD）：企業用戶的安全缺口？

作者：Cesare Garlati（趨勢科技消費化資訊傳播者）

這篇文章來自筆者2012年8月7日在東京Direction 2012大會上發言的一部分。

長久以來，我一直都在講消費化和自帶設備（BYOD）。而從我上次在新加坡CIO研討會上演講之後，過去這一年有什麼樣的變化呢？

發生的變化就是有越來越多企業都允許自帶設備。高階主管和IT經理第一時間地學到了自帶設備所帶來的好處和風險。

趨勢科技一直都和產業分析師（如Decisive Analytics和Forrester Research）共同合作去替IT決策者診斷問題，幫助我們了解他們的困難以及可以提供什麼樣的解決方案。他們也讓我們對於自帶設備有著深刻的了解。

因此，讓我們從最明顯的問題開始：自帶設備有多普遍？在去年，從我們的消費化報告裡可以看出，剛剛好超過一半的受訪者（56％）說他們的公司允許自帶設備。而從我們2012年最新的研究裡可以看到，這個數字已經顯著的增加了：Forrester的研究發現，這個數字目前超過了76％。最有趣的是，過去有些抗拒的國家，現在都變得比較接受自帶設備了。

自帶設備都是指哪些呢？大多數人都認為是：筆記型電腦、智慧型手機和平板電腦。而就是後兩者會導致企業最多的問題。企業的IT了解如何保護和管理安裝傳統作業系統的筆記型電腦。但很多企業還不知道要如何妥善管理來自非傳統IT廠商的行動平台，像Apple（iOS）和Google（Android）。

即使企業接納了自帶設備，他們也面臨了危險以及現實上可能產生的問題。到目前為止，最大的擔憂是資料安全、法規遵從和員工隱私。不僅如此，大約有一半受訪企業都承認，曾經因為自帶設備而遺失資料。

企業會做些什麼來確保自帶設備不會成為安全上的噩夢呢？一般來說，幾乎在所有案例裡，IT管理者會安裝安全和遠端管理軟體到使用者的設備上。讓IT更容易去抹除個人設備上的資料，一旦公司資料處於危險中時。

這些都是很好的開始，但想要妥善保護自帶設備，管理者必須了解兩件事情：要保護什麼以及威脅是什麼？

IT管理者普遍認為，當談到安全性和管理性時，受歡迎的這些行動作業系統在根本上是一樣的。然而，這並不完全正確。

在消費化報告裡，趨勢科技也檢視了這四種行動平台的安全特性：黑莓機、iOS、Windows手機和Android。這同時也是我們對這四個作業系統的評比順序：從最安全到最不安全。

如果你是IT管理者，這成了一個大問題：最安全的作業系統正在死去，而最普及的手機作業系統卻有著最多的漏洞！IT經理必須要了解，每種行動平台上的威脅狀況都有些許的不同，而要如何做好保護也就會跟著有所改變。

讓我們看看兩種最普及的行動作業系統以了解有哪些風險。第一是Apple iOS平台。

一般印象都認為Apple是個封閉、安全的平台。然而，這並不會因此讓它對危險免疫：如果你會去看那些被公開披露的漏洞，iOS在2012年的數字是大幅飆高的。還有越獄（JB），會打破Apple所築的圍牆，也降低了安全性。因此，iOS也有其危險性。

然而，Android才是真正需要擔心威脅的。來看看下圖：