OSX Crisis, malware para Mac que se encubre en máquinas virtuales

Symantec advirtió sobre la existencia de un nuevo malware para Mac llamado OSX.Crisis. Este malware tiene la funcionalidad para extenderse a cuatro ambientes diferentes: Mac, Windows, máquinas virtuales, y Windows Mobile. Se trata de una amenaza avanzada no sólo en su funcionamiento, sino también en la forma de propagación. 08_

OSX Crisis puede propagarse de las siguientes tres maneras: trata de copiarse a sí mismo y un archivo autorun.inf en una unidad de disco extraíble, otro es introducirse en una máquina virtual de VMware, y el último método es colocar módulos en un dispositivo con Windows Mobile.

Específicamente en entornos virtuales, este malware busca una imagen de máquina virtual de VMware en el equipo infectado y, si encuentra una imagen, se monta a la imagen y luego se copia en ella mediante el uso de la herramienta VMware Player. Aunque esta amenaza no utiliza una vulnerabilidad en el software VMware, se aprovecha de un atributo que tiene todo el software de virtualización: que la máquina virtual no es más que un archivo o una serie de archivos en el disco de la máquina host. Estos archivos generalmente se puede manipular o montarse directamente, incluso cuando la máquina virtual no se está ejecutando como es el caso que mencionamos en esta ocasión.

Este puede ser el primer malware que se propaga en una máquina virtual. Muchas amenazas se terminan o detienen cuando encuentran una aplicación de control de la máquina virtual, como VMware, para evitar ser analizadas, por lo que este puede ser el próximo salto hacia adelante para los autores de malware.

Información adicional sobre este tema está disponible en los siguientes blogs de Symantec (en inglés):

•             www.symantec.com/connect/blogs/crisis-windows-sneaks-virtual-machines

•             www.symantec.com/connect/blogs/crisis-mac