エフセキュアのアナリストの一人が、自身を「Adobe Flash Player」のアップデートだと勘違いさせようとするMac向けトロイの木馬「Flashback」の最新バージョンのデバッグ中に、興味深いものを発見した。
「Flashback.A」と「Flashback.B」の違いを比較している時に、彼は以下のルーチンを見つけた:
「Flashback.B」は「vmcheck」を実行する。仮想化が検出されると、トロイの木馬は自身を停止するのだ。
AppleはLionでユーザーが2つの仮想化環境を動作させることを可能にした。
VMウェア・アウェア・マルウェア(早口で10回言ってみよう!)は、Windowsエコシステム内でよく使用されるアンチリサーチテクニックだが、Macではまだ一般的ではない。Macマルウェアの作者は、リサーチャが分析中に仮想環境を使い始めることを予測し、このような取り組みを阻止する対策を講じているようだ。
Threat Solutions post by — Brod
「Flashback.A」と「Flashback.B」の違いを比較している時に、彼は以下のルーチンを見つけた:
「Flashback.B」は「vmcheck」を実行する。仮想化が検出されると、トロイの木馬は自身を停止するのだ。
AppleはLionでユーザーが2つの仮想化環境を動作させることを可能にした。
VMウェア・アウェア・マルウェア(早口で10回言ってみよう!)は、Windowsエコシステム内でよく使用されるアンチリサーチテクニックだが、Macではまだ一般的ではない。Macマルウェアの作者は、リサーチャが分析中に仮想環境を使い始めることを予測し、このような取り組みを阻止する対策を講じているようだ。
Threat Solutions post by — Brod