Исследователи ESET недавно описали Wslink, уникальный и ранее недокументированный вредоносный загрузчик, который работает как сервер и имеет обфускатор на основе виртуальной машины.
Виртуализованные образцы Wslink не содержат явных артефактов, таких как конкретные имена разделов, которые могли бы легко связать его с известным обфускатором виртуализации. В ходе исследования ESET смогли успешно разработать и реализовать полуавтоматическое решение, способное значительно облегчить анализ базового
кода программы. Виртуальная машина представила разнообразный арсенал техник обфускации, которые ESET смогли преодолеть, чтобы раскрыть часть деобфусцированного вредоносного кода.