18 de octubre de 2011

TROYANO PARA “MAC” QUE DETECTA LA VIRTUALIZACIÓN

El blog de F-Secure informa del descubrimiento del primer troyano para MAC que detecta la virtualización, para cambiar su funcionamiento y evitar ser analizado.
Si bien es un método antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple.

"Modus operandi" del troyano:

  • La muestra analizada por F-Secure, se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar que está siendo ejecutando sobre una máquina virtual, detiene por completo su ejecución.
  • Por el momento, la única máquina virtual que sobre la que se comprueba si está corriendo es VMWare.

Métodos de comprobación de entorno virtual:
  • Existen numerosos métodos para comprobar si se está en un entorno virtual.
  • Se puede encontrar información en la propia página de VMWare, con sus pros y sus contras: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458

Detalles técnicos del troyano:

  • Este troyano recurre a un método descubierto por el investigador Ken Kato, que consiste en interactuar con un puerto de Entrada/Salida (puerto 'VX').
  • Este puerto que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.

Fuente: Hispasec