Вирусописатели проверяют наличие документов на зараженном компьютере, чтобы понять, является ли он реальной жертвой или виртуальной машиной, которую используют белые шляпы (специалисты по компьютерной безопасности, который специализируется на тестировании безопасности компьютерных систем).

Эксперт SentinelOne Калеб Фентон, пытаясь запустить вредоносную программу, чтобы проанализировать ее, обнаружил новые технически особенности.

Вредонос, над которым работал эксперт отказался работать по той причине, что на виртуальной машине Фентона не было запущенных Word-документов.

«У большинства пользователей, как правило, открыто более двух документов. На виртуальных машинах картина другая» - говорит Фентон.

«Если вредонос распознает виртуальную машину, он может не делать ничего подозрительного и вредоносного».

Проанализированный экспертом зловред также проверяет IP-адрес зараженного устройства на предмет совпадения с антивирусными вендорами или песочницами.

Из всего вышесказанного можно сделать вывод, что вредоносная программа не реализует своего функционала, если не найдет на инфицированном компьютере процессы Word.