Хакеры включают в свои черви и трояны механизм обнаружения виртуальных машин, тем самым усложняя работу антивирусных лабораторий.

---

Эта тактика направлена на то, чтобы помешать исследователям, которые используют виртуализационное ПО, особенно выпущенное VMware, для быстрого и безопасного тестирования воздействия злонамеренного кода. Специалисты по безопасности часто запускают злонамеренные приложения в виртуальных машинах, чтобы защитить свою операционную систему от угрозы; виртуализационное ПО также позволяет анализировать злонамеренный код на различных операционных системах на одном компьютере.

«Три из 12 образцов злонамеренного ПО, обнаруженных недавно нашим honeypot отказались запуститься в VMware» сказал Ленни Зельтцер (Lenny Zeltser), аналитик института SANS.

Писатели злонамеренных приложений используют множество различных техник для обнаружения виртуальных машин, включая поиск специфичных для VMware процессов и оборудования. В основном используется код на ассемблере, который ведет себя на виртуальной машине не так как на физическом хосте.

В свою очередь, специалисты по безопасности института SANS Том Листон (Tom Liston) и Эд Скудис (Ed Skoudis) описали технику для борьбы с обнаружением виртуальных машин.
Документ можно загрузить http://handlers.sans.org/tliston/ThwartingVMDetection_Liston_Skoudis.pdf