Malwaremakers doen steeds meer moeite om hun creaties voor anti-virusbedrijven te verbergen, maar die zitten zelf ook niet stil. Veel malware-analyses vinden in gevirtualiseerde omgevingen plaats. Om niet te worden ontdekt kijkt de malware eerst of die zich in een Virtual Machine bevindt. Is dit het geval, dan wordt de infectieroutine niet uitgevoerd en zou het erop kunnen lijken dat het een schoon bestand is.

Recentelijk verscheen er malware die kijkt of er een muis is aangesloten, er op de linkermuisknop geklikt is of dat de computernaam 'sandbox' wordt gebruikt.

Cuckoo
De Cuckoo Sandbox is een populaire sandbox om malware te analyseren. Beveiligingsbedrijf Alienvault Labs ontwikkelde verschillende manieren om deze sandbox beter tegen detectie door malware te wapenen, zodat de infectieroutine toch wordt uitgevoerd en onderzoekers de malware kunnen onderzoeken.

"Het is vrij lastig om alle functies af te dekken die malware kan gebruiken om Virtual Machines te detecteren, maar met het aanpassen van sommige veelvoorkomende functies kunnen we zo'n 90% van de gevallen afdekken", zegt Alberto Ortega. De aanpassingen zijn op deze pagina te vinden.

Windows 7
De makers van de Cuckoo Sandbox zitten zelf ook niet stil en hebben een nieuwe versie uitgebracht, genaamd 'To The End Of The World'. Volgens de ontwikkelaars is dit 'zonder twijfel' een van de beste releases tot nu toe, zowel qua stabiliteit, kwaliteit als nieuwe features.

Zo is er een 'native URL analyse toegevoegd, een REST API server om met Cuckoo samen te werken geïntroduceerd en wordt Windows 7 ondersteund.