Авторы многих вредоносных программ до сих пор предпочитали встраивать в них проверки на случай запуска в виртуальной машине и отказываться от выполнения дальнейших действий, если виртуальная машина обнаружена. Это помогало программам избежать обнаружения. Однако с распространением виртуальных машин в корпоративных сетях авторы перешли к новым методам маскировки.

Специалисты компании Symantec проверили 200 тыс. образцов вирусов, присланных клиентами с 2012 года. Лишь 18% из них прекращало работу при запуске в виртуальной машине. Некоторые просто делали паузу перед началом вредоносной деятельности. Если новый файл не проявляет активности в течение пяти-десяти минут, средства безопасности виртуальной машины, по всей видимости, сочтут его безопасным, поясняют специалисты. Другие вирусы перед расшифровкой своего тела и запуском ждали, пока пользователь сделает определенное количество щелчков мышью и так далее. Автоматическим средствам безопасности трудно распознать угрозу в таком поведении.

Главная опасность заключается в распространении заражения из виртуальной машины в сервер, на котором она работает. Способы эксплуатации для этого ошибок в виртуальной машине уже находились.