Do laboratoriów firm antywirusowych docierają próbki malware'u wykrywającego fakt zainstalowania w sztucznym środowisku, takim jak wirtualna maszyna czy sandboks (emulator systemu operacyjnego), stosowanych niekiedy w pakietach antywirusowych. Po instalacji w takim środowisku złośliwy program nigdy nie ujawnia swojego prawdziwego charakteru. Jest to spory problem, gdyż wiele laboratoriów używa takich właśnie wirtualnych środowisk do rozpracowywania nowych zagrożeń. Przykładem takiego szkodnika jest LinkOptimizer, obecny w Internecie od kilku miesięcy i ciągle aktywny.

Twórcy szkodliwego oprogramowania czerpią pełnymi garściami z nowych koncepcji (choć niekiedy są to tylko odkurzone stare pomysły, dzisiaj zastosowane w niecnych celach). Często zdarza się, że złośliwy program składa się z dwóch części, ściśle współpracujących ze sobą. Część pierwsza, instalowana w komputerze ofiary, jest maksymalnie uproszczona - wyposażono ją jedynie w prymitywne funkcje, np.: otwórz plik, zapisz dane itp. Zasadniczo wygląda to zupełnie niewinnie, nawet przesyłając taki program do laboratorium firmy AV, nie można być pewnym, że zostanie on prawidłowo zaklasyfikowany przez specjalistów od revers engineeringu. Druga część aplikacji znajduje się na odległym serwerze w Internecie i to ona decyduje o złośliwości tego kodu - stanowi "mózg" aplikacji. Dopiero po jego aktywowaniu widać, jakie intencje w rzeczywistości towarzyszyły twórcy programu.

Istnieją techniki pozwalające na produkowanie malware'u w krótkich seriach. Po pobraniu z lokalizacji dystrybuującej złośliwy kod kilkuset wersji jednego pliku, odbywa się jego automatyczna rekompilacja po stronie serwera. Kolejne ofiary ściągają już inny plik, tak więc nawet błyskawiczna reakcja laboratoriów produkujących sygnatury będzie prawdopodobnie spóźniona. Następne osoby będą pobierać, owszem, ten sam program, ale w innej wersji uruchomieniowej, więc nawet odpowiednia sygnatura poprzedniej wersji nie ustrzeże nas od infekcji.

Autor jest dyrektorem technicznym Panda Security Polska, analitykiem rynku bezpieczeństwa informatycznego.