Для обхода обнаружения и дальнейшего анализа вредоносы определяют, не запущены ли они на виртуальной машине. Обнаружив виртуальную среду, малварь просто не запускается, а в некоторых случаях даже самоудаляется.
В Malware Evasion Encyclopedia собраны используемые вредоносами методы обнаружения виртуальной среды. Хотя энциклопедия позволит киберпреступникам узнать новые техники, ценность для ИБ-сообщества значительно превышает любые преимущества для разработчиков малварей.
Она состоит из следующих разделов: файловая система, реестр, запросы Generic OS, объекты Global OS, артефакты пользовательского интерфейса, функции ОС, процессы, сеть, ЦП, аппаратное обеспечение, таблицы прошивки, перехватчики и macOS. В каждом есть образец кода, демонстрирующий, как вредонос определяет, запущен ли он в виртуальной среде, и предлагающий соответствующие контрмеры.
Специалисты планируют дополнять энциклопедию и будут рады помощи от сообщества. С их слов, сайт энциклопедии представляет собой «лицо» учётной записи GitHub, где собрана вся информация. Любой желающий, обнаруживший новую технику, может подать запрос и добавить её в Malware Evasion Encyclopedia.