専門家は、難読化のためにWslinkマルウェアローダーによって使用される仮想マシンを詳しく説明します

サイバーセキュリティの研究者は、サーバーとして実行され、受信したモジュールをメモリ内で実行する悪意のあるローダーにさらに光を当て、マルウェアがレーダーの下を飛ぶために使用する「高度な多層仮想マシン」の構造を明らかにしました。
NsPackという名前のファイル圧縮ユーティリティがパックされたWslinkは、プロセス仮想マシン（VM）と呼ばれるものを利用します。
「難読化エンジンとして使用される仮想マシン[…]は、クロスプラットフォームアプリケーションを実行することを目的としておらず、通常、既知のISA [命令セットアーキテクチャ]用にコンパイルまたはアセンブルされたマシンコードを取得し、それを分解して、独自の仮想ISAに変換します。」 ESETマルウェアアナリストのVladislavHrčka氏は語った。
さらに、仮想化されたWslinkマルウェアパッケージには、ジャンクコード、仮想オペランドのエンコード、仮想命令のマージ、ネストされた仮想マシンの使用など、リバースエンジニアリングを妨げるさまざまな戦術が付属しています。
「難読化技術は、コードを理解しにくくし、その目的を隠すことを目的とした一種のソフトウェア保護です。難読化仮想マシン技術は、分析と検出の両方を妨げるため、マルウェアサンプルの難読化などの不正な目的で広く悪用されるようになりました」とHrčka氏は述べています。