Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Virus Crisis : Windows, OS X et machines virtuelles

Un seul malware, « Crisis », pour les attaquer tous : Windows, Windows Mobile, Mac OS X et les machines virtuelles dans les environnements VMware.

C’est le laboratoire de sécurité informatique Integro qui a remonté l’information récemment : Crisis est à la base un trojan pour Mac OS X, capable d’intercepter des mails, des conversations IM, et de tracker les sites Web visités par un utilisateur. Mais après des recherches plus approfondies de Symantec, il semble que Crisis soit plus malveillant qu’il n’y paraît : il cible aussi les environnements Windows, les périphériques Windows Mobile et les environnements virtuels VMware.

Le virus se répand grâce à des techniques qui conduisent l’utilisateur à installer un fichier JAR, une archive Java, en se faisant passer pour un installeur d’Adobe Flash. Le malware identifie le système et installe l’exécutable qui lui correspond. Il fonctionne selon ce principe :

Comme le rappelle Symantec, les virus qui ciblent Mac OS X se répandent de plus en plus, notamment depuis le début de l’année 2012. Une fois installé sur un environnement au goût de pomme, il a accès à Adium, Mozilla Firefox, Skype ou encore MSN Messenger pour Mac.

Mais ce n’est pas terminé, puisque selon Takashi Katsuki, chercheur chez Symantec, « c’est la première fois qu’un malware s’attaque à une machine virtuelle. La plupart des menaces s’arrêtent d’elles-mêmes lorsqu’elles rencontrent une application de gestion des machines virtuelles, comme VMware, pour éviter d’être analysées. Ceci pourrait donc être une nouvelle manne pour les auteurs de virus ».

Le virus Crisis se répand en cherchant une machine virtuelle sur un ordinateur déjà compromis par le ver. Lorsqu’il trouve une image correspondante, il se copie lui-même en une image qui utilise l’outil VMware Player, qui permet à plusieurs OS de fonctionner sur un même environnement. Toutefois, Crisis « n’exploite pas une faille VMware », écrit Takashi Katsuki. « Il tire parti d’un attribut commun à tous les logiciels de virtualisation : à savoir que la machine virtuelle est tout simplement un fichier ou une série de fichiers sur le disque de la machine hôte. Ces fichiers peuvent généralement être directement manipulés ou montés, même lorsque la machine virtuelle ne fonctionne pas ».

La version pour Windows fonctionne aussi sur les périphériques Windows Mobile, précise Symantec. En revanche, à cause ou grâce à l’utilisation de « Remote Application Programming Interface » (un mécanisme dans lequel un mobile est le serveur, et l’application sur l’ordinateur est le client, ndlr), il ne fonctionne pas sur Android et iOS. Selon Symantec, Crisis aurait déjà infecté une cinquantaine de machines.

Source : l’informaticien.com