Многие образцы вредоносного ПО проверяют класс Win32_Fan в WMI, чтобы определить, работает ли они в виртуальной машине.
Информация о вентиляторе CPU считывается Windows из SMBIOS структуры типа 27 (Cooling Device).
В Xen можно добавить свои SMBIOS структуры через опцию smbios_firmware, но по умолчанию поддерживаются лишь некоторые типы.
Для корректного отображения вентилятора в WMI нужно эмулировать обе структуры типа 27 (Cooling Device) и типа 28 (Temperature Probe).
В QEMU/KVM можно легко задать собственные SMBIOS данные через опцию -smbios без дополнительной обработки.
Get notified when new stories are published for "🇷🇺 Hacker News Русский"