Om detectie door anti-virusbedrijven te voorkomen passen sommige virussen opmerkelijke trucs toe. Aangezien er dagelijks vele duizenden malware-varianten verschijnen, gebruiken alle anti-virusbedrijven geautomatiseerde analyse-systemen. Menig malwaremaker voegt daarom maatregelen toe om analyse door anti-virusbedrijven te voorkomen. Zo zijn er virussen en Trojaanse paarden die kunnen detecteren of ze in een sandbox of gevirtualiseerde omgeving draaien.
Is dit het geval, dan stopt de malware met werken, om zo analyse door virusbestrijders te bemoeilijken. Symantec stelt dat malwaremakers recentelijk nieuwe manieren gebruiken om geautomatiseerde analysesystemen te misleiden.
De eerste manier is het monitoren van muisverkeer. Normale gebruikers bedienen de computer met een muis, wat verkeer genereert. Geautomatiseerde analysesystemen beschikken niet over een muis en worden in dit geval door de malware gedetecteerd, die vervolgens stopt met werken.
Slaapmodus
Een andere truc waarvoor het anti-virusbedrijf waarschuwt is een 'slaapmodus'. Zodra het virus op het systeem komt, wacht het vijf minuten voordat een volgende routine wordt aangeroepen. Daarna wordt 20 minuten gewacht op de routine die het Windows-register wijzigt, gevolgd door de netwerkroutine, die wederom na 20 minuten wachten actief wordt.
"In het verleden gebruikten malwaremakers technieken om virtuele omgevingen te detecteren. Daardoor moesten ze over specialistische vaardigheden beschikken", aldus Symantec.
"De twee genoemde technieken zijn niet technisch en daardoor hebben malwaremakers tegenwoordig geen technische vaardigheden meer nodig om hun creaties voor geautomatiseerde analysesystemen te verbergen."
Deze posting is gelocked. Reageren is niet meer mogelijk.