作者:趋势科技数据中心事业群产品协理 Warren Wu
8 月21 日,有很多媒体报导一种会攻击VMware 虚拟机的新病毒或恶意软件:Crisis(也叫做Morcut)。这是一款在 7 月下旬就开始传播的新恶意软件家族成员,曾被很多防毒软件厂商报导过,包括趋势科技。该病毒主要感染运行Mac OSX 的机器,而安全研究人员最近发现,有些新的Crisis变种也会感染VMware 虚拟机和Windows Mobile 系统。
下面是个实用指南,主要为您提供在面对这类不明疑惧事件时需要知道的信息,以及在短期与长期阶段该做的事情。
先来复习一下,目前的虚拟化主要是通过两种类型的虚拟主机管理程序部署的:
l 第一类虚拟主机管理程序部署–最主要的例子是VMware ESX、Citrix XenSource 等。可以将这类产品想成是替代一般主机操作系统(例如Windows 或Linux)的系统,需要直接在物理机器的硬件上运行。这种软件本身就像是操作系统,可以直接控制硬件。随后通过管理程序同时运行多个虚拟机。几乎所有数据中心都部署了这类虚拟化产品。这类软件并不会被这个恶意程序所攻击。我也不知道实际上有哪种在外流传的恶意软件可以感染第一类虚拟主机管理程序。
l 第二类虚拟主机管理程序部署–例如VMware Workstation、VMware Player 等,这类虚拟主机管理程序需要安装在标准操作系统(例如Windows 或Linux)之上,再运行多个虚拟机。而这第二种类型是恶意软件能够感染的。首先,主机操作系统先受到感染。可能是一次已知的Windows 或Mac OS 攻击(所以要先检测操作系统,然后安装对应的可执行文件)。接着会寻找VMDK 文件,并利用虚拟主机工具(