赛门铁克:恶意程序开始入侵虚拟主机

赛门铁克日前发现可以同时跨微软和Mac操作系统的恶意程序OSX.Crisis也会针对VMware的虚拟主机发动攻击，这也是目前发现第一起针对虚拟主机发动攻击的恶意程序。

赛门铁克表示，这个OSX.Crisis恶意程序本身有一个JAR档案，内置可以同时在微软和Mac操作系统活动的执行档案，这样的执行档案可以自动检测所处的伺服器环境，如果该台伺服器有其他的虚拟主机时，该恶意程序就会寻找VMware的映像档案，透过VMware Player Tool工具打开这个虚拟主机来植入恶意程序。

赛门铁克指出，许多杀毒软件为了提高检测效率，都会在虚拟环境内进行沙箱检测，以往的恶意程序为了躲过杀毒软件的检测，一旦检测到该操作系统内有虚拟环境，多会停止动作，借此隐藏自己的踪迹。但OSX.Crisis则是第一个试图复制并感染到其他虚拟环境的恶意程序。

根据赛门铁克的观察，这个OSX.Crisis恶意程序原本是透过社交工程的方式进入企业的内网，可以侧录Skype的Session，MSN和绿色鸭子的即时通信对谈，也可以窃取Safari和火狐狸浏览器的记录，也可以对外和傀儡网路的中控主机取得连线。

为了杜绝这种恶意程序的扩散，赛门铁克表示，企业可以首先检查虚拟主机和实体伺服器中，是否一定要共用网路，先切断没有必要的网路连线；加上该恶意程序也可以透过USB被复制，杜绝所有外接储存设备的Autorun功能。为了确保虚拟主机的安全性，建议每一个虚拟主机的Guest OS都应该安装杀毒软件。