Malware vermijdt geen virtuele machines meer
Het was lang een bekende truc van heel wat kwaadaardige programma"s: ontdekten ze dat ze in een virtuele machine draaiden, dan sloten ze snel af.
Heel wat antimalwaresoftware gebruikt immers virtuele machines om te controleren of programma’s met malware geïnfecteerd zijn. Zo probeerde de malware detectie tegen te gaan. Merkten ze dat ze niet gevirtualiseerd draaiden, dan voerden ze gewoon hun kwaadaardige functie uit. Een (dubieuze!) truc voor gebruikers was dan ook om software in virtuele machines te draaien en zo eventueel aanwezige malware af te schrikken.
[related_article id=”161920″]
Nu meer en meer bedrijven zelf virtuele machines voor allerlei taken gebruiken, is het draaien in een virtuele machine helemaal geen aanwijzing meer voor de malware dat hij geanalyseerd wordt. Het verbaast dan ook niet dat uit een studie van Symantec bij 200.000 malwaresamples blijkt dat tegenwoordig nog maar 18% van de malware in virtuele machines stopt. En daarmee kun je de truc ook niet meer toepassen om malware af te schrikken.
Verdacht
De meeste samples die Symantec vond, gebruiken een runtime packer met ingebouwde VM-detectie. Malware-auteurs hebben echter ontdekt dat het nogal verdacht overkomt als software detecteert of hij in een virtuele machine draait. En aangezien het doel van malware is om zo veel mogelijk systemen te infecteren, heeft het ook niet veel zin om in virtuele machines niets te doen. Dat beperkt immers het aantal te infecteren systemen. Gebruikers die denken dat ze in een virtuele machine geen antimalwaresoftware nodig hebben, zijn er dus aan voor de moeite.
In samenwerking met Smartbiz.be.