Malware nutzt die WMI-Klasse Win32_Fan, um das Vorhandensein eines CPU-Lüfters zur VM-Erkennung zu prüfen.
Die Win32_Fan-Implementierung in cimwin32.dll liest SMBIOS-Daten des Typs 27 (Cooling Device) aus.
In Xen lässt sich über die Option smbios_firmware benutzerdefiniertes SMBIOS einbinden, jedoch nur für ausgewählte Typen und mit Größenpräfix.
Ohne die zugehörige SMBIOS-Typ-28-Struktur (Temperature Probe) wird der Lüfter in der VM nicht als Win32_Fan-Instanz angezeigt.
Nach Hinzufügen von Typ 27 und 28 in der smbios.bin erkennt Windows in der VM einen CPU-Lüfter.
In QEMU/KVM kann man über die -smbios-Option einfacher SMBIOS-Daten einfügen, ohne Größenpräfixe verwenden zu müssen.
Get notified when new stories are published for "🇩🇪 Hacker News Deutsch"