Зловреды изучают историю

Разработчики вредоносного ПО прилагают множество усилий для того, чтобы их продукция успешно избегала обнаружения защитными системами. Новую технику такой маскировки обнаружил исследователь компании SentinelOne Калеб Фентон. Речь идет о вредоносных макросах в документах Microsoft Word. Одним из самых эффективных способов проверки подозрительных файлов является их запуск в безопасной среде - на виртуальных машинах исследователей. Однако Фентон установил, что новые зловреды могут проходить эту проверку достаточно очевидным образом. При запуске вредоносный файл проверяет историю Microsoft Word. И если в ней нет хотя бы двух открытых ранее документов, зловред не активирует свои функции.

Логика вполне понятна и при этом безукоризненна. На реальных пользовательских компьютерах наверняка существует хоть какая-то история Microsoft Word (за исключением случаев, когда программа только что установлена). А на виртуальных машинах исследователей такой истории, разумеется, нет и быть не может.