Авторы вредоносных программ используют различные способы прятаться от виртуальных машин, где их функциональность пытаются исследовать специалисты антивирусных компаний. Они проверяют наличие процессов с определёнными названиями, определённые значения реестра, порты и проч.
Например, зловред Shylock элегантным способом определяет наличие соединения по протоколу RDP, пишет «ХАКЕР.ру».
Эксперты компании FireEye обнаружили троян Upclicker, который демонстрирует новый трюк: он отслеживает активность мыши и начинает работу только после того, как пользователь нажмёт и отпустит левую кнопку мыши. Таким образом, в обычной виртуальной машине троян не покажет никакой активности, потому что там вся активность обычно автоматизирована и никто не работает с мышью.
Эксперты предполагают, что вредоносные программы в будущем будут всё чаще использовать подобные методы, отслеживая активность мыши, нажатия определённых клавиш, передвижения мыши или накопившийся пробег мыши, прежде чем начинать проявлять свои основные функции.