سوپرکرم جدیدی که ماشین‌های مجازی را آلوده می‌کند

تاریخ انتشار : ۰۴ شهريور ۱۳۹۱

این کرم جدید که زیرمجموعه بدافزارها است، به طور خودکار نوع پلتفرم را تشخیص می‌دهد و خود را روی سیستم قربانی اجرا می‌کند.

به گزارش گرداب، سوپر ویروس بسیار وحشی‌ای روی اینترنت منتشر شده که با دور زدن ماشین های حاوی VMware هم ویندوز و هم اپل مک را آلوده می کند.

همچنین ابزارهای مجهز به ویندوز موبایل را با ورود یک کرم (worm) که در فرمت جاوا آرشیو (.jar) است و وقتی در حال نصب شدن است مانند فلش پلیر جاوا خود را نشان می دهد تا قربانی را گول زده و او را مجبور کند تا فایل را باز کند.

این کرم که در زیر مجموعه بدافزارها است، به طور خودکار نوع پلتفرم را تشخیص می دهد و خود را روی سیستم قربانی اجرا می کند.

آرشیو مورد نظر شامل چندین فایل اجرایی است که در داخل خود یک روتکیت داشته و برای ثبت هر نوع حرکتی که کاربر می کند، آماده است. در واقع یک بک‌دور(backdoor) یا برگشت به آی پی 176.58.100.37 درست کرده و برای حمله کننده دسترسی نامحدود درست می کند و کد مخرب بعد از ری استارت (ReStart) کردن سیستم همچنان زنده می ماند.

در سیستم قربانی اپل، برنامه های موزیلا، آدیوم، فایرفاکس، ام اس ان مسنجر و اسکایپ از سوی حمله کننده مانیتور می شود و در این رابطه نیازی به داشتن پسورد ادمین نیست.



"سیمانتک" به عنوان یکی از اولین کمپانی ها ویروس را شناسایی کرده و می گوید تلفن های هوشمند مایکروسافت و ماشین های مجازی‌ای که با VMware  نصب شده اند، قربانیان این بدافزار هستند.

بدافزار به گفته کارشناسان سیمانتک روی فایل autorun.inf می نشیند و نزدیک ترین ماشین مجازی را آلوده می کند و با پیچیدن دور ماشین مجازی آن را آلوده می سازد و این کار را با نشستن روی پلیر مخصوص "VMware" انجام می دهد. (به دلیل باگ رفع نشده در این نرم افزار)


 
کمپانی های امنیتی با راه اندازی ماشین های مجازی (عمدتا VMware) سعی کرده اند بدون آلوده شدن سیستم های حساس خود از دست ویروس ها فرار کنند اما این بار این ویروس تمام تئوری ها را نقش بر آب کرد.



این موضوع مباحث سیمانتک درباره ضعف نرم افزارهای مجازی را ثابت می کند. به گفته کارشناسان این شاید اولین بدافزاری باشد که روی ماشین های مجازی فرستاده شده و قدرت آلوده کنندگی بالا هم دارد. با این ویروس همچنین مشخص شد ماژولهای ویندوز موبایل (اینترفیس RAPI) به راحتی قابل هک کردن هستند.

منبع: خبرآنلاین