Crisis是一款在 7 月下旬就开始传播的新恶意软件家族成员，曾被很多防毒软件厂商报导过。该病毒主要感染运行 Mac OSX 的机器，而安全研究人员最近发现，有些新的 Crisis 变种也会感染 VMware 虚拟机和 Windows Mobile 系统。

　　有很多媒体报导一种会攻击 VMware 虚拟机的新病毒或恶意软件：Crisis（也叫做Morcut）。这是一款在 7 月下旬就开始传播的新恶意软件家族成员，曾被很多防毒软件厂商报导过，包括趋势科技。该病毒主要感染运行 Mac OSX 的机器，而安全研究人员最近发现，有些新的 Crisis 变种也会感染 VMware 虚拟机和 Windows Mobile 系统。

　　下面是个实用指南，主要为您提供在面对这类不明疑惧事件时需要知道的信息，以及在短期与长期阶段该做的事情。

　　先来复习一下，目前的虚拟化主要是通过两种类型的虚拟主机管理程序部署的：

　　1.第一类虚拟主机管理程序部署 – 最主要的例子是 VMware ESX、Citrix XenSource 等。可以将这类产品想成是替代一般主机操作系统（例如 Windows 或 Linux）的系统，需要直接在物理机器的硬件上运行。这种软件本身就像是操作系统，可以直接控制硬件。随后通过管理程序同时运行多个虚拟机。几乎所有数 据中心都部署了这类虚拟化产品。这类软件并不会被这个恶意程序所攻击。我也不知道实际上有哪种在外流传的恶意软件可以感染第一类虚拟主机管理程序。

　　2.第二类虚拟主机管理程序部署 – 例如VMware Workstation、VMware Player 等，这类虚拟主机管理程序需要安装在标准操作系统（例如 Windows 或 Linux）之上，再运行多个虚拟机。而这第二种类型是恶意软件能够感染的。首先，主机操作系统先受到感染。可能是一次已知的 Windows 或 Mac OS 攻击（所以要先检测操作系统，然后安装对应的可执行文件）。接着会寻找 VMDK 文件，并利用虚拟主机工具（VMplayer）感染虚拟机。而这类型感染是可以利用更新防病毒软件的方法加以预防的。

　　即使这个受感染的虚拟机被移动，并转为在第一类虚拟主机管理程序中运行（这只是一个假设性的讨论），它也会被限制在虚拟机里，因为端点安全程序会防止虚拟机间的网络通讯以及 I/O 通讯。

　　那么，这有什么大不了的？

　　虚拟机就和物理机器一样，如果不修补漏洞，一样会让恶意软件感染操作系统或应用程序，或是会被针对用户的社会工程学攻击所入侵。而针对这次的问题，有两个因素让 Crisis 显得既新颖又独特：

　　首先，该恶意软件会明确地找到存在的虚拟机，并试图加以感染。

　　其次，它会通过底层基础架构感染虚拟机，也就是通过修改 VMDK 文件的方式，而不是通过传统手段，例如远程网络、网页访问，或文件分享等方式进入虚拟机。