Conficker riconosce le VM

Vi segnalo due interessanti post sul sito SANS Internet Storm Center dove è messo in evidenza un particolare aspetto del comportamento e dell'intelligenza di Conficker. Infatti, stando a quanto affermato nel post, il noto worm è in grado di rilevare se l'OS attaccato è in esecuzione come VM (Microsoft, VMWare ecc. ) oppure no.
La tecnica adottata dall'analista per rilevare questo comportamento è, ovviamente, quella del reverse enginerring. Ulteriori approfondimenti hanno messo in evidenza altri comportamenti che rivelano quanto conficker sia evoluto. Uno per tutti, Conficker effettua il pacthing della macchina...

Ecco i post:
More tricks from Conficker and VM detection
Some tricks from Conficker's bag

Per domande e dubbi è possibile scrivere sul forum di VMexperts.org oppure direttamente a lconte@vmexperts.org.

Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
Virtualization Discovery - http://www.virtualizationdiscovery.com
Virtualization Technical Days - http://days.virtualizationdiscovery.com
Virtualization Webcast - http://webcast.virtualizationdiscovery.com