Suchen

Backdoor-Trojaner für Mac OS X und Windows Crisis befällt VMware-Images und Windows Mobile

Redakteur: Stephan Augsten

Wie die Antivirus-Experten von Symantec berichten, ist mit Crisis eine Malware für Mac OSX und Windows in Umlauf, die unter dem Microsoft OS auch virtuelle Maschinen infiziert. Der Schadcode nutzt dafür keine Schwachstelle, sondern kopiert sich mithilfe eines VMware-Player-Tools in die Image-Datei.

Firmen zum Thema

Die Malware Crisis kann verschiedenste Systeme befallen.
Die Malware Crisis kann verschiedenste Systeme befallen.
(Symantec)

Mithilfe von Social-Engineering-Methoden verbreiten Cyber-Kriminelle derzeit den Trojaner Crisis, der sowohl Mac- als auch Windows-Rechner befällt. Um dies zu gewährleisten, wird der Schadcode in Form von zwei ausführbaren Dateien in einer JAR-Datei (Java Archive) verpackt.

Gelangt die Datei auf einen Rechner, dann ermittelt sie das Betriebssystem und hinterlässt den jeweils passenden Schadcode. Jede der beiden ausführbaren Dateien öffnet auf dem Zielsystem eine Hintertür, die beispielsweise den Firefox-Browser oder die VoIP-Software Skype überwachen kann. Die Windows-Version W32.Crisis wartet jedoch mit zwei Zusatzfunktionen auf, berichtet Symantec.

Zum einen sucht der Trojaner nach virtuellen VMware-Maschine. Sobald Crisis fündig wird, mounted er das entsprechende Image und kopiert sich mithilfe eines VMware-Player-Tools darin hinein. Der Trojaner nutzt also keine Schwachstelle, sondern macht sich die Eigenschaft einer jeden Virtualisierungssoftware zunutze: da ein Image nichts anderes als eine Datei ist, lässt sie sich direkt mounten und manipulieren.

Symantec vermutet, dass Crisis die erste Malware ist, die gezielt eine virtuelle Maschine befällt. In solchen Umgebungen bleiben Schadcodes nämlich meist inaktiv oder beenden sich selbst, da Antivirus-Spezialisten sie hier am besten – da in der Regel gefahrlos – analysieren können.

Ein weiterer Weg, über den Crisis sich verbreitet, sind Autorun-Dateien, die auf angeschlossenen Flash-Speichern hinterlegt werden. Besonders interessant ist aber die Fähigkeit von W32.Crisis, Schadcode-Module vom infizierten Rechner auf ein angeschlossenes Windows-Mobile-Gerät zu übertragen.

Da der Trojaner hierfür bislang nur das Remote Application Programming Interface von Microsoft nutzt, sind Android- oder iOS-Geräte vorerst nicht betroffen. Welche Zwecke Crisis auf Smartphones und Tablets verfolgt, weiß Symantec bislang nicht. Der Antivirus-Hersteller hat noch keine Samples der entsprechenden Schadcode-Module erhalten, die er analysieren könnte.

(ID:35196020)