Авторы вредоносных программ используют различные способы прятаться от виртуальных машин, где их функциональность пытаются исследовать специалисты антивирусных компаний. Они проверяют наличие процессов с определёнными названиями, определённые значения реестра, порты и проч. Например, зловред Shylock элегантным способом определяет наличие соединения по протоколу RDP.
Эксперты компании FireEye обнаружили троян Upclicker, который демонстрирует новый трюк: он отслеживает активность мыши и начинает работу только после того, как пользователь нажмёт и отпустит левую кнопку мыши. Таким образом, в обычной виртуальной машине троян не покажет никакой активности, потому что там вся активность обычно автоматизирована и никто не работает с мышью.
На иллюстрации показан фрагмент кода, в котором вызывается функция SetWinodwsHookExA с параметром 0Eh. Посмотрев в справочнике MSDN, можно убедиться, что эта функция отвечает за отслеживание мыши.
На следующей иллюстрации показано, что после нажатия кнопки мыши вызывается функция UnhookWindowsHookEx() и функция sub_401170(), которая и отвечает за запуск вредоносного кода.
Эксперты предполагают, что вредоносные программы в будущем будут всё чаще использовать подобные методы, отслеживая активность мыши, нажатия определённых клавиш, передвижения мыши или накопившийся пробег мыши, прежде чем начинать проявлять свои основные функции.
