Microsoft heeft een nieuw wapen ontwikkeld om malware op te sporen. Het gaat dan met name om malware die zich via 'drive-by downloads' verspreidt. Veel aanvallen die via drive-by downloads plaatsvinden maken gebruik van geobfusceerde Javascript. Zodra de bezoeker van de gehackte of kwaadaardige website met een verouderde browser of browser plug-in de pagina opent, wordt via JavaScript vanaf een andere website de exploit geladen die het lek in de verouderde software misbruikt en malware installeert.

De malware laat zich echter niet in alle gevallen zien. Zo wordt de exploit of malware alleen actief als er een bepaalde plug-in, browser of besturingssysteem wordt gebruikt. Dit maakt het lastiger voor aanvallers om nieuwe malware te vinden en te analyseren. Daarom ontwikkelden onderzoekers van Microsoft Research Rozzle.

Virtual machine
Rozzle is een 'JavaScript multi-execution virtual machine', die het mogelijk maakt om verschillende omgevingen te emuleren, waardoor de verstopte malware zich uiteindelijk laat zien. Rozzle zou de online runtime detectie met bijna een factor zeven doen toenemen. Van de 65.000 exemplaren JavaScript malware, wist een traditionele virusscanner slechts 2,5% te detecteren, terwijl Rozzle 17,5% herkende. Tevens weet Rozzle ook drie keer meer kwaadaardige URLs te ontdekken dan traditionele tools.

De tool zou daarnaast nauwelijks voor extra overhead en belasting zorgen, waardoor meerdere virtual machines met verschillende browsers niet meer nodig zijn. Eén browser met Rozzle is voldoende, waardoor ook hardware vereisten, netwerkbandbreedte en stroomverbruik worden verminderd.