Om ervoor te zorgen dat malware op echte computersystemen pas actief wordt, en niet op de virtuele systemen van beveiligingsbedrijven en onderzoekers, passen malwaremakers steeds vaker verschillende technieken toe. Zo wordt er bijvoorbeeld naar het gebruik van de muis gekeken.

Het Amerikaanse beveiligingsbedrijf FireEye ontdekte onlangs een kwaadaardig RTF-document waarin een exploit zat verstopt die misbruik van een beveiligingslek maakte. De exploit werd echter pas geactiveerd als er naar de tweede pagina werd gescrold. In een standaard sandbox-omgeving waar dit soort bestanden worden geanalyseerd zou de muisactiviteit willekeurig of van tevoren zijn geprogrammeerd. De tweede pagina zou in dit geval niet geladen worden en de exploit zou zodoende niet opvallen.

Een andere aanval die recentelijk werd opgemerkt werd pas actief als er meer dan twee muisklikken waren waargenomen. Deze "twee-click voorwaarde" moet bepalen dat een echt persoon de aangevallen machine bedient en dat het niet om een virtuele omgeving gaat waar automatisch een muisklik wordt uitgevoerd. Een ander kenmerk waar malware op let is de snelheid waarmee de muis wordt bewogen. Door naar de snelheid te kijken kan worden bepaald of de muisbewegingen van een mens of machine zijn.

Dit soort tactieken zijn echter niet nieuw. Een aantal jaren geleden was er al malware in omloop die keek of er een muis was aangesloten, er op de linkermuisknop geklikt werd en of de computernaam 'sandbox' werd gebruikt. Volgens FireEye vormt het nabootsen van menselijk gedrag, om dit soort tactieken tegen te gaan, een uitdaging voor beveiligingsbedrijven en is het de verwachting dat malwaremakers vaker nieuwe technieken zullen toevoegen om mens van machine te onderscheiden.