圖1 威脅的傳播方
該威脅能夠在被感染的計算機(jī)上搜索VMware虛擬機(jī)映像����,如果它發(fā)現(xiàn)虛擬機(jī)映像��,便會加載到該映像中���,然后再使用VMware Player工具將自身拷貝到映像中。
圖2 傳播到VMware
該威脅沒有利用VMware軟件自身的漏洞�����,而是利用了所有虛擬化軟件的共同屬性�����,即:虛擬機(jī)就是主機(jī)磁盤上的一個文件或一系列文件�。通常情況下,這些文件可以直接被操作或加載�,即使虛擬機(jī)并未處于運(yùn)行狀態(tài)。
迄今為止,該惡意軟件可能是第一種試圖向虛擬機(jī)進(jìn)行傳播的惡意威脅���,因為多數(shù)的威脅在發(fā)現(xiàn)虛擬機(jī)監(jiān)控應(yīng)用程序(如VMware)時都會終止自身的進(jìn) 程�,以防止被監(jiān)測分析到����。因此,這可能會是惡意軟件制作者的下一個突破點��。此外��,該惡意軟件還可以通過將模塊拖放到與被感染計算機(jī)連接的Windows Mobile設(shè)備上進(jìn)行傳播�。
圖3向 Windows Mobile設(shè)備傳播的功能
由于該惡意軟件使用的是遠(yuǎn)程應(yīng)用程序接口(RAPI),因此其影響范圍僅限于Window Mobile設(shè)備����。Android或iPhone設(shè)備目前未受該惡意軟件的影響。在得到這些模塊的副本后�����,賽門鐵克安全響應(yīng)中心會對該惡意軟件進(jìn)行更為詳細(xì)的分析�����。賽門鐵克建議使用諾頓安全產(chǎn)品的用戶需要對其病毒庫定義進(jìn)行實時的更新。
