Symantec: Вредоносов для виртуальных машин становится все больше


SymantecВиртуальные машины получили широкое распространение уже давно. Их используют не только пользователи по всему миру, но и специалисты в области кибербезопасности. Последним виртуальные машины позволяют комфортно анализировать вредоносное ПО, уменьшая при этом риск заражения и избавляя от необходимости переустановки систем после каждого запуска.

Также данное программное обеспечение все чаще начали использовать службы поддержки пользователей, чтобы максимально защитить персональные данные клиентов.

Из-за такого распространения виртуальных машин исследователи из Symantec решили проверить их защищенность.

В результате тестов специалисты попытались заразить их различными видами вредоносов. Это исследование связано с тем, что в последнее время случаи заражения ВМ лишь участились.

Так при написании вредоносного ПО киберпреступники добавляют в код собственных вредоносов способы проверки, реальная ли используется система или виртуальная. Практика показала, что чаще всего для этого выполняются следующие проверки:

  • Проверка MAC-адреса адаптера виртуальной сети для определения изготовителя
  • Проверка ряда ключей системного реестра, присутствующих лишь в виртуальных машинах
  • Проверка наличия специального ПО для виртуальных машин (наподобие VMWare Tools)
  • Проверка некоторых процессов и имен служб
  • Проверка поведения портов связи
  • Выполнение специфического ассемблерного кода и сравнение результатов
  • Проверка местонахождения системных структур (к примеру, таблиц дескриптора)


Обычно вредоносные элементы проверяются на специализированных автоматических виртуальных машинах. Основным условием для успешного прохождения такой проверки является обязательное отсутствие вредоносной активности программы в течение некоторого времени (несколько минут). Для выполнения этого условия авторы вредоносного ПО добавили функцию условной активации. Т.е., вредонос активируется только после нескольких перезагрузок виртуальной машины или после совершения определенного количества щелчков мышью. Добавление таких методов обхода автоматической проверки усложнило жизнь антивирусным специалистам в значительной мере.

Кроме того, в некоторых случаях запущенное на виртуальных машинах вредоносное ПО определяло, что оно запущено на виртуальной машине, и лишь после этого начинало проверять системный реестр на несуществующие в нем записи. В других случаях использовался специальный паковщик, проверяющий тип системы при запуске.

В качестве доказательства исследователи из Symantec проанализировали 200 тыс. подозрительных файлов, которые были присланы их клиентами для анализа в течение последних 2 лет. Каждый из них был запущен на реальном ПК и на виртуальной системе. Как результат - количество вредоносов, определяющих тип системы при запуске, составляет в среднем 18%.


Обновлено (13.08.2014 20:20)