Lisandro Pardo
En general utilizamos entornos virtuales para probar ciertos programas que pueden tener alguna complicación extra, o configuraciones que tal vez no sean tan estables para el sistema operativo. Sin embargo, estos territorios de prueba especiales podrían verse comprometidos con una nueva variante de malware conocida como Crisis, preparada para infectarlos. Los primeros reportes indicaron que se trataba de un malware diseñado para OS X, pero también posee una versión para Windows, y los entornos virtuales basados en VMWare serían apenas uno de sus blancos.
A finales del mes de julio, la gente de Kaspersky recibieron muestras sobre un malware conocido como Backdoor.OSX.Morcut, también conocido como OSX.Crisis. Tal y como indica el nombre, la primera versión que apareció parecía concentrarse en sistemas OS X, infectando al ordenador de turno a través de un archivo con extensión .JAR que se hacía pasar por el Flash Player. A esta altura uno imagina que la mayoría de los usuarios deberían estar conscientes de que la distribución del Flash Player para OS X se realiza en el reconocido formato .DMG, y no como una máquina virtual Java, pero el punto es que el bicho en cuestión resultó ser mucho más complejo de lo esperado, ya que se trata de un troyano con capacidad de rootkit y spyware capaz de monitorear programas como Firefox, Skype y el MSN Messenger para Mac. El archivo .JAR también tiene una versión compatible del malware para Windows, y todo parece indicar que tiene cierta gusto por las máquinas virtuales basadas en VMWare.
De acuerdo a lo publicado por Symantec, la variante W32.Crysis tiene tres vectores de infección: Uno a través del clásico autorun.inf agregado a unidades extraíbles, otro con el despliegue de módulos en un dispositivo Windows Mobile, y el restante filtrándose en una imagen VMWare existente. Si Crisis detecta una imagen VMWare en el sistema, es capaz de ejecutar una instancia del VMWare Player y copiarse en el interior de esa imagen. Ahora, esto no sucede porque exista una vulnerabilidad en VMWare, sino porque las imágenes pueden ser montadas y/o modificadas aún sin la ejecución del entorno virtual. Symantec también destaca que el malware usualmente busca terminar su actividad ante la presencia de entornos virtuales para evitar un posible análisis, pero Crisis hace exactamente lo contrario, por lo que sería el primero en su clase.
En cuanto a la infección sobre dispositivos Windows Mobile, esto sucede si el dispositivo es conectado a un ordenador ya infectado, y el análisis del código reveló que no tendría ninguna clase de actividad sobre dispositivos Android o iOS. Con la amenaza identificada, será cuestión de mantener actualizadas las definiciones de nuevos programas antivirus y antimalware para estar protegidos, aunque un poco de información extra nunca hace daño. Los instaladores oficiales del Flash Player siempre conviene descargarlos en la página de Adobe, y nunca está de más ver la extensión del archivo que estamos obteniendo.
