Symantec: возросли угрозы для виртуальных машин

    Исследователи из Symantec проверили защищенность виртуальных машин, попытавшись заразить их различными видами вредоносов. Ранее при обнаружении виртуальной машины вредоносное ПО автоматически завершало работу, но в последнее время случаи заражения ВМ лишь участились.

    При написании вредоносного ПО преступники добавляют в код собственных вредоносов способы проверки, реальная ли используется система или виртуальная. Чаще всего для этого выполняются следующие проверки:

    • Проверка MAC-адреса адаптера виртуальной сети для определения изготовителя
    • Проверка ряда ключей системного реестра, присутствующих лишь в виртуальных машинах
    • Проверка наличия специального ПО для виртуальных машин (наподобие VMWare Tools)
    • Проверка некоторых процессов и имен служб
    • Проверка поведения портов связи
    • Выполнение специфического ассемблерного кода и сравнение результатов
    • Проверка местонахождения системных структур (к примеру, таблиц дескриптора)

    Обычно вредоносы проверяются на специализированных автоматических виртуальных машинах. Для успешного прохождения такой проверки требуется, чтобы программа не проявляла вредоносной активности в течение определенного времени (несколько минут). В связи с этим авторы вредоносного ПО добавили функцию условной активации – вредонос активируется лишь после нескольких перезагрузок виртуальной машины или после совершения определенного количества щелчков мышью. Добавление таких методов обхода автоматической проверки значительно усложнило жизнь антивирусным специалистам.

    В некоторых случаях запущенное на ВМ вредоносное ПО определяло, что оно запущено на виртуальной машине, и начинало проверять системный реестр на несуществующие в нем записи. В других случаях использовался специальный паковщик, проверяющий тип системы при запуске.

    В качестве доказательства исследователи Symantec проанализировали 200000 подозрительных файлов, присланных их клиентами для анализа в течение последних 2 лет. Каждый из них был запущен как на реальном ПК, так и на виртуальной системе. В результате было определено, что количество вредоносов, определяющих тип системы при запуске, составляет в среднем 18%.

    С отчетом Symantec можно ознакомиться здесь.