マルウェアはWin32_Fan WMIクラスを利用してCPUファンの有無をチェックし、仮想環境を検出する。
Windowsのcimwin32.dllはSMBIOSのタイプ27(Cooling Device)を読み取ってCPUファン情報を取得する。
Xenではsmbios_firmwareオプションでSMBIOSデータを追加できるが、タイプ27と28は標準では上書き対象に含まれていない。
カスタムsmbios.binにはタイプ27とタイプ28(Temperature Probe)の構造をそれぞれサイズプレフィックス付きで追加する必要がある。
QEMU/KVMでは-smbiosオプションを使うだけで、サイズプレフィックスなしの生データでCPUファン情報を偽装できる。
Get notified when new stories are published for "🇯🇵 Hacker News 日本語"