Los desarrolladores de malware saben que sus artefactos va a ser analizados por threat hunters, forenses y demás “azulones” que intentarán destriparlos para obtener el detalle de su funcionamiento para contenerlos. También saben que la mayoría serán analizados en sandboxes con máquinas virtuales que proporcionan entornos aislados para que el malware se active para que sus acciones puedan ser interceptadas. Por ello los programas maliciosos detectan que se están ejecutando en una máquina virtual y actúan en consecuencia.
Comentarios
Entonces una buena contra medida para evitar infecciones sería usar esta información para hacer creer al malware que se está ejecutando en una vm, de forma que no ejecute su payload..
#1 pwned !
[edited] just for n00bs, no hagáis (nunca) copy/paste en la terminal.
#1 pensé exactamente eso al leer el artículo. Cada vez la detección será más sensible para evitar que emulen un PC real y en cierto punto seria sencillo que los ordenadores reales simulen estar en una vm.
Hace muchisimos años que un troyano que programé me envió un nombre de equipo similar a "PandaPandita" en el grupo de trabajo "panda".
Llevado por la curiosidad, entré en esa red, el pc estaba más limpio que una patena, sin nada en el escritorio, como recién instalado de fábrica.Era una red de maquinas virtuales de Panda Antivirus.
Pero de esto hace como 18 años y casi ni se conocía lo que era una máquina virtual.