Om detectie door onderzoekers te voorkomen is malware in staat om de aanwezigheid van een Virtual Machine (VM) te detecteren, maar dit biedt geen garantie dat het systeem niet geïnfecteerd wordt. Via een VM kan malware worden geanalyseerd zonder dat het onderliggende productiesysteem besmet raakt.

Malware-makers weten dat het gebruik van Virtual Machines onder anti-virusbedrijven en onderzoekers populair is en voegden daarom maatregelen toe waardoor malware de aanwezigheid van een VM kan detecteren. Door bijvoorbeeld naar het MAC-adres, bepaalde registersleutels, processen en diensten te kijken kan de malware zien of het op een echte computer wordt uitgevoerd of binnen een virtueel systeem draait. In het geval van een VM kan de malware ervoor kiezen om de infectie te stoppen.

Het gebruik van Virtual Machines binnen organisaties begint echter te groeien, aldus Symantec. Daardoor wordt vaak de vraag gesteld of malware altijd stopt zodra het een VM detecteert. "Sommige klanten hopen nog steeds dat het antwoord ja is en dat ze immuun zijn voor malware als ze virtuele systemen draaien. Dit is helaas een misvatting", zegt onderzoeker Candid Wueest.

Samen met andere onderzoekers analyseerde hij 200.000 malware-exemplaren die sinds 2012 zijn verschenen en testte ze zowel op een echt systeem als een Virtual Machine van VMware. Uiteindelijk bleek dat 20% van de exemplaren de infectie stopte zodra het VMware ontdekte. "Dit houdt in dat malware nog steeds kijkt of het binnen een VM draait, maar alleen in een minderheid van de gevallen", merkt Wueest op. Hij adviseert organisaties dat ze hun virtuele systemen, net als andere systemen, goed beveiligen.