Cirsis/MORCUT 惡意軟體掛載虛擬機器

作者:Christopher Daniel So(趨勢科技威脅反應工程師)

趨勢科技之前接獲警報,出現了會在VMware虛擬機器內散播的Crisis/MORCUT惡意軟體。我們在之前關於Crisis/MORCUT的文章中說明了這是一個專門針對Mac OSX系統的後門程式。而現在,我們手上有可以在Windows內執行的Crisis/MORCUT樣本,有趣的是,它會去掛載虛擬硬碟。它透過檢查VMware設定檔來找到主機上所安裝的所有虛擬機器位置。

目前尚未能確認這個變種病毒是如何進入系統的。但似乎是從下載一個惡意Java Applet(偵測為JAVA_AGENT.NTW)開始。Java Applet內包含兩個檔案:mac – 後門程式OSX_MORCUT.A和win – 被偵測為WORM_MORCUT.A的蠕蟲程式。檔案win可以在Windows作業系統上執行。然後這個檔案會產生以下元件檔案:

IZsROY7X.-MP – (32位元DLL)現在被偵測為WORM_MORCUT.A

  • t2HBeaM5.OUk – (64位元DLL)現在被偵測為WORM_MORCUT.A
  • eiYNz1gd.Cfp
  • WeP1xpBU.wA – (32位元驅動程式)現在被偵測為TROJ_MORCUT.A
  • 6EaqyFfo.zIK – (64位元驅動程式)現在被偵測為TROJ_MORCUT.A
  • lUnsA3Ci.Bz7 – (32位元DLL)非惡意檔案

 

根據趨勢科技的初步分析,WORM_MORCUT.A可以經由USB裝置和VMware虛擬硬碟來散播。它利用驅動程式元件 – TROJ_MORCUT.A來掛載虛擬硬碟。雖然這樣的能力讓它看來可以更積極的散播,但是在這文章撰寫時,我們還沒有看到太多WORM_MORCUT.A和TROJ_MORCUT.A的感染案例。

 

正如之前在我們的雲端安全部落格文章中所提到的: 會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut),我們的初步分析顯示這個Crisis/MORCUT變種可能會影響第二型的虛擬機器管理程式部署。由趨勢科技 Deep Security趨勢科技OfficeScan所提供的防護可以確保趨勢科技的客戶不受Crisis/MORCUT惡意軟體所威脅。

下載WORM_MORCUT.A的Java檔案現在被偵測為JAVA_MORCUT.A。WORM_MORCUT.A所產生的檔案被偵測為RTKT_MORCUT.A。最新的病毒碼可以清理這些檔案。。OfficeScan用戶應該更新到最新的病毒碼。所有的病毒碼都可以在我們的下載中心取得。

 

 

@原文出處:New Crisis/MORCUT Malware Mounts in Virtual Machines

 
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan

延伸閱讀

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

雲端資料銷毀:你的舊資料還可以被存取嗎?

《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo

其實這四件事不會摧毀網際網路

雲端有多安全?7 個雲端數位生活自保守則

從實體到雲端,重重風險怎把關 ?

《趨勢專家談雲端運算》其實這四件事不會摧毀網際網路

《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵

《趨勢專家談雲端運算》目標攻擊在Web 3.0的演變

 

 

APT 攻擊

 

◎ 歡迎加入趨勢科技社群網站