Зловреды изучают историю

Новую технику такой маскировки обнаружил исследователь компании SentinelOne Калеб Фентон. Речь идет о вредоносных макросах в документах Microsoft Word. Одним из самых эффективных способов проверки подозрительных файлов является их запуск в безопасной среде - на виртуальных машинах исследователей. Однако Фентон установил, что новые зловреды могут проходить эту проверку достаточно очевидным образом. При запуске вредоносный файл проверяет историю Microsoft Word, сообщает ТЦИ. И если в ней нет хотя бы двух открытых ранее документов, зловред не активирует свои функции.

Логика вполне понятна и при этом безукоризненна. На реальных пользовательских компьютерах наверняка существует хоть какая-то история Microsoft Word (за исключением случаев, когда программа только что установлена). А на виртуальных машинах исследователей такой истории, разумеется, нет и быть не может.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!