Symantec: возросли угрозы для виртуальных машин

• Арсений Владимирский
• 13.08.2014
• Категории: Новости___1

Исследователи из Symantec проверили защищенность виртуальных машин, попытавшись заразить их различными видами вредоносов. Ранее при обнаружении виртуальной машины вредоносное ПО автоматически завершало работу, но в последнее время случаи заражения ВМ лишь участились.

При написании вредоносного ПО преступники добавляют в код собственных вредоносов способы проверки, реальная ли используется система или виртуальная. Чаще всего для этого выполняются следующие проверки:

• Проверка MAC-адреса адаптера виртуальной сети для определения изготовителя
• Проверка ряда ключей системного реестра, присутствующих лишь в виртуальных машинах
• Проверка наличия специального ПО для виртуальных машин (наподобие VMWare Tools)
• Проверка некоторых процессов и имен служб
• Проверка поведения портов связи
• Выполнение специфического ассемблерного кода и сравнение результатов
• Проверка местонахождения системных структур (к примеру, таблиц дескриптора)

Обычно вредоносы проверяются на специализированных автоматических виртуальных машинах. Для успешного прохождения такой проверки требуется, чтобы программа не проявляла вредоносной активности в течение определенного времени (несколько минут). В связи с этим авторы вредоносного ПО добавили функцию условной активации – вредонос активируется лишь после нескольких перезагрузок виртуальной машины или после совершения определенного количества щелчков мышью. Добавление таких методов обхода автоматической проверки значительно усложнило жизнь антивирусным специалистам.

В некоторых случаях запущенное на ВМ вредоносное ПО определяло, что оно запущено на виртуальной машине, и начинало проверять системный реестр на несуществующие в нем записи. В других случаях использовался специальный паковщик, проверяющий тип системы при запуске.

В качестве доказательства исследователи Symantec проанализировали 200000 подозрительных файлов, присланных их клиентами для анализа в течение последних 2 лет. Каждый из них был запущен как на реальном ПК, так и на виртуальной системе. В результате было определено, что количество вредоносов, определяющих тип системы при запуске, составляет в среднем 18%.

С отчетом Symantec можно ознакомиться здесь.