エフセキュアのアナリストの一人が、自身を「Adobe Flash Player」のアップデートだと勘違いさせようとするMac向けトロイの木馬「Flashback」の最新バージョンのデバッグ中に、興味深いものを発見した。

  「Flashback.A」と「Flashback.B」の違いを比較している時に、彼は以下のルーチンを見つけた:

vmcheck, Trojan-Downloader:OSX/Flashback.B

  「Flashback.B」は「vmcheck」を実行する。仮想化が検出されると、トロイの木馬は自身を停止するのだ。

  AppleはLionでユーザーが2つの仮想化環境を動作させることを可能にした。

  VMウェア・アウェア・マルウェア(早口で10回言ってみよう!)は、Windowsエコシステム内でよく使用されるアンチリサーチテクニックだが、Macではまだ一般的ではない。Macマルウェアの作者は、リサーチャが分析中に仮想環境を使い始めることを予測し、このような取り組みを阻止する対策を講じているようだ。

Threat Solutions post by — Brod