Een Trojaans paard dat Mac- en Windows-computers infecteert blijkt ook virtual machines te besmetten. Het gaat om de Crisis Trojan, die vorige maand werd ontdekt. De malware gebruikt social engineering technieken om zich via een Java-applet te verspreiden. Eenmaal actief bespioneert Crisis het gebruik van Adium, Mozilla Firefox, MSN Messenger voor Mac, luistert het Skype-gesprekken af en steelt het bestanden.

De JAR-bestanden die via de Java-applets worden verspreid bevatten zowel een Mac- als Windows-versie van de malware. Afhankelijk van het besturingssysteem wordt de geschikte versie geïnstalleerd. Crisis gebruikt drie methoden om zich te verspreiden.

De eerste manier is zichzelf naar een USB-stick of externe harde schijf te kopiëren en daar een autorun.inf bestand aan te maken, de tweede manieren is het besmetten van een VMware virtual machine en als laatste installeert de malware verschillende modules op een Windows Mobile-toestel. Details over deze modules zijn onbekend, aangezien Symantec die niet in bezit heeft.

Virtual machine
Volgens Symantec gaat de malware actief op zoek naar een VMware virtual machine image op de besmette computer. Zodra het die het vindt, wordt de image gemount en kopieert Crisis zich in de image via de VMware Player tool. De malware gebruikt hierbij geen kwetsbaarheid in de VMware software zelf, maar gebruikt een eigenschap van alle virtualisatiesoftware, namelijk dat de virtual machine gewoon één of meerdere bestanden op de host machine is, aldus Takashi Katsuki.

Deze bestanden zijn direct te manipuleren of te mounten, ook al is de virtual machine niet gestart. "Dit is mogelijk de eerste malware die probeert om een virtual machine te infecteren", merkt de analist op. "Veel dreigingen stoppen als ze een virtual machine monitoring applicatie zoals VMware vinden om analyse te voorkomen, dus dit is mogelijk de volgende grote stap voorwaarts voor malwaremakers."