Podszycie się pod wentylator CPU w VM

Malware często sprawdza obecność wentylatora CPU przez wywołanie klasy WMI Win32_Fan.

Win32_Fan odczytuje dane SMBIOS typu 27 („Cooling Device”) w bibliotece cimwin32.dll.

W Xen można wstrzyknąć niestandardowe struktury SMBIOS typu 27 i 28 przez plik smbios.bin, ale wymaga to łaty kodu źródłowego Xen.

Brak definicji typu 28 („Temperature Probe”) uniemożliwiał wykrycie wentylatora, więc dodanie obu typów pozwoliło VM zidentyfikować CPU fan.

W QEMU/KVM wystarczy opcja -smbios/file lub konfiguracja libvirt, bez potrzeby łatania hypervisora.

Get notified when new stories are published for "🇵🇱 Hacker News Polski"

No Sign-In needed. One-Click Subscribe.

•

🇵🇱 Hacker News Polski•June 29, 2025 at 04:57 PM

Malware często sprawdza obecność wentylatora CPU przez wywołanie klasy WMI Win32_Fan.

Win32_Fan odczytuje dane SMBIOS typu 27 („Cooling Device”) w bibliotece cimwin32.dll.

W Xen można wstrzyknąć niestandardowe struktury SMBIOS typu 27 i 28 przez plik smbios.bin, ale wymaga to łaty kodu źródłowego Xen.

Brak definicji typu 28 („Temperature Probe”) uniemożliwiał wykrycie wentylatora, więc dodanie obu typów pozwoliło VM zidentyfikować CPU fan.

W QEMU/KVM wystarczy opcja -smbios/file lub konfiguracja libvirt, bez potrzeby łatania hypervisora.

Get notified when new stories are published for "🇵🇱 Hacker News Polski"

No Sign-In needed. One-Click Subscribe.