近日，賽門鐵克檢測(cè)出一種針對(duì)Mac系統(tǒng)的新型惡意軟件，并將其命名為OSX.Crisis。該惡意軟件可以傳播到4種不同的環(huán)境中：Mac、Windows、虛擬機(jī)和Windows Mobile。

值得一提的是，該惡意軟件的先進(jìn)性不僅體現(xiàn)在功能上，還體現(xiàn)在其傳播方式上。這一惡意軟件可以通過三種途徑進(jìn)行傳播：一是將自身以及一個(gè)autorun.inf文件拷貝到一個(gè)可移動(dòng)硬盤驅(qū)動(dòng)器中；二是傳播到VMware虛擬機(jī)中；三是將模塊拖放到某個(gè)Windows Mobile設(shè)備中。

圖1 威脅的傳播方式

該威脅能夠在被感染的計(jì)算機(jī)上搜索VMware虛擬機(jī)映像，如果它發(fā)現(xiàn)虛擬機(jī)映像，便會(huì)加載到該映像中，然后再使用VMware Player工具將自身拷貝到映像中。

圖2 傳播到VMware

該威脅沒有利用VMware軟件自身的漏洞，而是利用了所有虛擬化軟件的共同屬性，即：虛擬機(jī)就是主機(jī)磁盤上的一個(gè)文件或一系列文件。通常情況下，這些文件可以直接被操作或加載，即使虛擬機(jī)并未處于運(yùn)行狀態(tài)。

迄今為止，該惡意軟件可能是第一種試圖向虛擬機(jī)進(jìn)行傳播的惡意威脅，因?yàn)槎鄶?shù)的威脅在發(fā)現(xiàn)虛擬機(jī)監(jiān)控應(yīng)用程序（如VMware）時(shí)都會(huì)終止自身的進(jìn)程，以防止被監(jiān)測(cè)分析到。因此，這可能會(huì)是惡意軟件制作者的下一個(gè)突破點(diǎn)。此外，該惡意軟件還可以通過將模塊拖放到與被感染計(jì)算機(jī)連接的Windows Mobile設(shè)備上進(jìn)行傳播。

圖3向 Windows Mobile設(shè)備傳播的功能

由于該惡意軟件使用的是遠(yuǎn)程應(yīng)用程序接口（RAPI），因此其影響范圍僅限于Window Mobile設(shè)備。Android或iPhone設(shè)備目前未受該惡意軟件的影響。在得到這些模塊的副本后，賽門鐵克安全響應(yīng)中心會(huì)對(duì)該惡意軟件進(jìn)行更為詳細(xì)的分析。賽門鐵克建議使用諾頓安全產(chǎn)品的用戶需要對(duì)其病毒庫(kù)定義進(jìn)行實(shí)時(shí)的更新。