Вирусы проверяют наличие процессов и устройств, характерных для виртуальных машин, и отказываются исполнять свои вредоносные действия, если результаты такой проверки окажутся положительными. Это блокирует работу вирусных аналитиков, которые часто анализируют коды в безопасной среде виртуальной машины. Этот же метод защиты может блокировать системы эвристического анализа и вирусных приманок, которые также построены на основе виртуальных машин. Из 12 проанализированных Зельцером вирусов 3 содержали подобную защиту и отказались запускаться в среде VMware. По заявлению эксперта антивирусным аналитикам приходится блокировать защиту вирусов от запуска в виртуальной среде или постоянно модифицировать код своих виртуальных машин. Однако, как поведет себя полиморфный вирус в полиморфной виртуальной машине, сейчас не может предсказать никто.

Поделитесь материалом с коллегами и друзьями