Вредоносное ПО подстраивается под виртуальные машины

27 Октября 2014
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
Пол Рубенс в своей статье на сайте serverwatch.com, выдержки из которой мы приводим, сообщает о том, что замечен новый тренд в разработке вредоносного ПО – авторы такого ПО принимают во внимание возможность того, что их вирус окажется на виртуальной машине.

Вендоры, производящие антивирусное ПО, такие как Symantec часто используют виртуальные машины для того, чтобы проверять вредоносный код. Причина использования виртуальных машин проста – риск их заражения минимален, поскольку зараженную виртуальную машину можно «разобрать» и запустить заново из последнего «хорошего» шаблона.

Авторы вредоносного ПО стали хитрее, и теперь они встраивают в свой код проверки того, является ли машина, на которую попал их код, виртуальной. Если машина виртуальная – то их ПО не запускает свои вредоносные функции, чтобы не быть обнаруженным и уничтоженным. 

По данным Symantec, есть несколько методов, как вирусы определяют, на виртуальной они машине или нет:

  • Через проверку некоторых ключей в регистре, характерных для виртуальных систем
  • Через проверку, установлено ли ПО типа VMWare Tools
  • Через проверку определенных процессов и наименований служб
  • Через проверку коммуникационных портов и их поведения
  • Запуская специальный код на ассемблере и сравнивая его исполнение
  • Через проверку размещения системных структур, как например, дескрипторных таблиц
 
Таким образом авторы вирусов пытаются защититься и от того, чтобы их ПО было отслежено производителями антивирусов, поскольку те часто используют виртуальные машины в своей работе.

Хорошей новостью является то, что подобное ПО не будет заражать виртуальные машины в дата-центрах или в частных облаках.

Однако, появляются и вирусы, которые готовы нападать на виртуальные машины, но при это соблюдают достаточную осторожность, чтобы убедиться, что они находятся на машине в продакшне. Вирусы отслеживают, как долго работает виртуальная машина, на которую они попали. Если ее не «разобрали» за достаточно короткое время, значит это машина из продакшна, и на ней можно осуществлять свою вредную деятельность.