作者:Christopher Daniel So(趨勢科技威脅反應工程師)
趨勢科技之前接獲警報,出現了會在VMware虛擬機器內散播的Crisis/MORCUT惡意軟體。我們在之前關於Crisis/MORCUT的文章中說明了這是一個專門針對Mac OSX系統的後門程式。而現在,我們手上有可以在Windows內執行的Crisis/MORCUT樣本,有趣的是,它會去掛載虛擬硬碟。它透過檢查VMware設定檔來找到主機上所安裝的所有虛擬機器位置。
目前尚未能確認這個變種病毒是如何進入系統的。但似乎是從下載一個惡意Java Applet(偵測為JAVA_AGENT.NTW)開始。Java Applet內包含兩個檔案:mac – 後門程式OSX_MORCUT.A和win – 被偵測為WORM_MORCUT.A的蠕蟲程式。檔案win可以在Windows作業系統上執行。然後這個檔案會產生以下元件檔案:
IZsROY7X.-MP – (32位元DLL)現在被偵測為WORM_MORCUT.A
- t2HBeaM5.OUk – (64位元DLL)現在被偵測為WORM_MORCUT.A
- eiYNz1gd.Cfp
- WeP1xpBU.wA – (32位元驅動程式)現在被偵測為TROJ_MORCUT.A
- 6EaqyFfo.zIK – (64位元驅動程式)現在被偵測為TROJ_MORCUT.A
- lUnsA3Ci.Bz7 – (32位元DLL)非惡意檔案
根據趨勢科技的初步分析,WORM_MORCUT.A可以經由USB裝置和VMware虛擬硬碟來散播。它利用驅動程式元件 – TROJ_MORCUT.A來掛載虛擬硬碟。雖然這樣的能力讓它看來可以更積極的散播,但是在這文章撰寫時,我們還沒有看到太多WORM_MORCUT.A和TROJ_MORCUT.A的感染案例。
正如之前在我們的雲端安全部落格文章中所提到的: 會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut),我們的初步分析顯示這個Crisis/MORCUT變種可能會影響第二型的虛擬機器管理程式部署。由趨勢科技 Deep Security和趨勢科技OfficeScan所提供的防護可以確保趨勢科技的客戶不受Crisis/MORCUT惡意軟體所威脅。