Перейти к содержанию

Сможет ли вирус сбежать из виртуальной машины?


Рекомендуемые сообщения

Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?

Ссылка на комментарий
Поделиться на другие сайты

Такой сценарий если имеет место быть, то очень маловероятен по определению. Все дело в том, что вирусописатели предвидят запуск вредоносной программы в гостевой ОС, т.е. в виртуальной машине с целью изучения поведения вредоносной программы. На деле это выглядит следующим образом. Перед тем, как принять решение о запуске вредоносного кода, вредоносная программа проверяет, в какой ОС она запущена. Если программа определила, что она запущена в родительской ОС, т.е. на физической машине, то она запускает вредоносный механизм. Если программа определила, что она запущена в гостевой ОС, то во избежании определения вредоносного поведения программы, например, вирусным аналитиком, программа просто-напросто вредоносный механизм не запускает.

Изменено пользователем dima_kor
Ссылка на комментарий
Поделиться на другие сайты

Ну, допустим, сценарий, где вирус выполняет вредоносный код на гостевой ОС, и с помощью уязвимостей выходит за пределы виртуальной машины.

Через интернет к примеру.

 

 

Кстати, я хотел уточнить про общий буфер обмена виртуальной машины и реальной ОС: есть ли у вирусов возможность выбраться за пределы виртуальной машины с помощью Drag'n'Drop и Shared Clipboard?

Ссылка на комментарий
Поделиться на другие сайты

20 hours ago, Galem333 said:

бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?

Если расшарить в основной системе папки для записи для всех, то активный вредонос из VM сможет записать, например, червя в расшаренные папки, если же был запущен шифровальщик, то сможет шифровать файлы в основной системе в пределах расшаренных папок. (реальный случай был и весьма поучительный с Teslacrypt)

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

А это как понять? Если я возьму и открою папку с виртуальной машиной, когда она будет включена, и решу запустить, к примеру, Wanncry на гостевой ОС, то вредонос подумает что он шифрует основную ОС. 

 

Я просто не сильно разбираюсь пока в виртуальных машинах 😅

 

 Только учусь как ими пользоваться. 

Мой придел это был windows sandbox. 

 

 

3 часа назад, Galem333 сказал:

А это как понять? Если я возьму и открою папку с виртуальной машиной, когда она будет включена, и решу запустить, к примеру, Wanncry на гостевой ОС, то вредонос подумает что он шифрует основную ОС. 

Ну то есть те папки которые я запускал на основном пк

Ссылка на комментарий
Поделиться на другие сайты

46 minutes ago, Galem333 said:

Я просто не сильно разбираюсь пока в виртуальных машинах 😅

Главное в основой системе (на физической машине) не сделайте расшаренных папок для всех.

Ну и WannaCry не надо шутить. Чтобы изучать локальные виртуальные машины не обязательно использовать шифровальщики или вирусные тела. Есть для этого удаленные специализированные сервера.

  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

9 минут назад, Sandor сказал:

От англ. слова Share, то есть те, на которые открыт полный общий доступ.

Ну то есть как я понял это общии папки виртуальной машины и основной ОС. 

Ссылка на комментарий
Поделиться на другие сайты

Ну ещё у меня 1 вопрос, на который толком нет ответа в интернете, да и сильно он не поднимался. Где больше всего уязвимостей, в VMware или VirtualBox?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Mona Sax
      Автор Mona Sax
      машина жива осталась?и сколько она грузилась?
       

      i



      Information:

      Эта тема была выделена из обсуждеия *nix систем: http://forum.kasperskyclub.com/index.php?showtopic=850

      Kind regards, CbIP.




    • B_KACKE
      Автор B_KACKE
      Здравствуйте!
      Зашифровало сервер 1с и распространилось дальше по сети
      Сервер 1с был просканирован загрузочной флешкой Kaspersky Rescue Tool 24 (скрин и отчет прикрепил)
      Помогите восстановить файлы. Бэкапы тоже зашифровало. Спасибо
      Addition.txt FRST.txt Files.zip Reports_KRT24.zip
    • Андрей.а.а
      Автор Андрей.а.а
      Прошу прощения, за дублирование темы. Решения не нашел. Нашел похожу тему, но она не сработала.
        В общем повторю еще раз, на виртуальном сервере отображается только истекающая лицензию на машины, новой не видно. На основном сервере лицензия добавлена, отображается и ей активирована основная часть машин. При попытке создания задачи распространения ключа через файл ключа на виртуальном сервере, на клиенте возникает ошибка "Нарушено Лицензионное соглашение" и активация удаляется. Нормально активировать можно только тем ключем, который виден в хранилище и никак иначе. Если отозвать лицензию у клиента принудительно, то активация "не прилетает" от вышестоящего сервера. При попытке добавить ключ активации на вирт сервер выдает сообщение, что данная лицензия уже присутствует в хранилище.
        Официальная поддержка пока молчит через корп кабинет. Сегодня истекает срок действия текущего ключа.
       
    • Dava
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • croc_gon
      Автор croc_gon
      Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 
       
      Тип события: Лечение невозможно
      Тип приложения: Kaspersky Endpoint Security для Windows
      Название: avp.exe
      Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
      ID процесса: 18446744073709551615
      Описание результата: Не обработано
      Тип: Троянское приложение
      Название: MEM:Trojan.Win64.ModPlayer.gen
      Пользователь: GONETS\i.zazvonov (Активный пользователь)
      Объект: pmem:\C:\Windows\System32\svchost.exe
      Причина: Пропущено
×
×
  • Создать...