Novi malware ima sposobnost detekcije virtualnih m

 tocno to! likovi sposobni napisati malware u C/C++/ASM-u i onda broje word dokumente da znaju dal se malware nalazi u virtualki... pa nemojte me *!???? s glupostima. 

Isto kao što autori malwarea analiziraju VM i naprave malware koji će ga pokušati detektirati, tako i stručnjaci protiv malwarea "krpaju" VM i pokušavaju ga maskirati i tako u krug, miš i mačka.

Nije isto koristiti običan VM kojeg će malware lako detektirati ili koristiti modificirani i specijalizirani VM ili sandbox za tu namjenu.

Zato ovaj malware umjesto da pokušava detektirati ovaj i onaj device, interface šta god kojeg će druga strana promijeniti, pokušava izbjeći detekciju ovako na način kojeg se stručnjaci možda nisu dosjetili prije ove vijesti.

Mogu naravno stručnjaci spoofati podatke i mijenjati varijable prilikom izvršavanja malwarea kada ga ručno analiziraju, ali ovakav način detekcije VM-a bi vjerojatno prošao kroz automatiziranu analizu i malware ostao nedetektiran, barem što je duže moguće i to je bio cilj malware autora pretpostavljam.

 a Virtualbox? 

Vraca 'oracle corporation'. Nisam to nikad koristio. Nije lose za znat. Ja sam koristio citanje naziva hard diska, gdje u nazivu trazim "VMWARE", "VBOX HARDDISK", ili "VIRTUAL HD" (Virtual PC). No meni to treba iz c++ koda.

int swallow_redpill () {
unsigned char m[2+4], rpill[] = "\x0f\x01\x0d\x00\x00\x00\x00\xc3";
*((unsigned*)&rpill[3]) = (unsigned)m; ((void(*)())&rpill)();
return (m[5]>0xd0) ? 1 : 0;
}

Provjerava IDTR da li se nalazi gdje bi trebao biti. Ako nije tamo gdje je inače, vraća 1. Guest i host dijele resurse pa svaki ima svoju interrupt tablicu. U 99% slučajeva radi.