卡巴斯基实验室的安全研究人员发现了一种word宏恶意程序能通过计算运行环境的word文档数量去躲避检测。安全研究人员通常利用虚拟机测试可疑程序,虚拟机环境一般缺乏多个word文档和其它类型的文件,这意味着如果恶意程序在系统中没有找到2个以上的world文档,那么它可以假设自己正在被研究。研究人员发现了该恶意程序如果在本地磁盘内没有发现2个以上的文档就会拒绝执行。如果发现两个以上的word文档,它会执行powershell脚本,从silkflowersdecordesign.com这个网站下载按键记录程序。
试用申请