Новая вредоносная программа, обнаруженная компанией SentinelOne, использует простую, но действенную тактику для избежания обнаружения.
Файл Intelligent Software Solutions Inc.doc, распространяемый через спам, использует VBA макрос для доступа к списку недавно созданных или открытых документов.
Если этот список пуст, программа предполагает, что она находится в Sandbox среде или виртуальной машине и перестает работать дальше, чтобы ее вредоносные возможности не были обнаружены.
Это усложняет, либо замедляет, обнаружение программы создателями антивирусов, а следовательно и ее добавление в антивирусные базы.
Если программа обнаруживает как минимум два Word документа в списке RecentFiles, то предполагает, что она запущена на обычном рабочем ПК, а не в изолированной исследовательской среде, и выполняет PowerShell скрипт, скачивающий и запускающий на ПК основную часть вируса.