網絡罪犯發現了在被感染機器上隱藏自身罪惡活動的新方法——使用虛擬機。

2016年7月，SecureWorks團隊觀測到一名攻擊者在被感染計算機上創建了一臺虛擬機(VM)，并試圖使用這臺VM來規避檢測。該事件，是在SecureWorks為曾受到針對性攻擊的某客戶監視進程創建活動的時候被發現的。

研究人員還發現，攻擊者已經取得了被感染環境一定程度的權限，可以通過終端服務客戶端與Windows資源管理器shell互動。攻擊者使用微軟管理控制臺(MMC)，來啟動Hyper-V虛擬機管理器。

虛擬機就是操作系統內的操作系統，可供用戶測試應用程序，或在安全軟件管理范圍之外執行其他各種動作而又不會危及整個系統。如果虛擬機系統崩潰，直接刪除或用另一個替換掉就行了，幾分鐘的事兒。

因為安全研究員使用VM分析惡意軟件，網絡罪犯就在他們的惡意程序里加進VM檢測機制，阻止分析(其中一些甚至把數百種安全產品都列入了黑名單)。然而，是也不是所有的網絡罪犯都不歡迎虛擬環境，有些甚至已經找到了利用VM的方法。

據SecureWorks的研究人員稱，對手在創建了以通用名“新建虛擬機(New Virtual Machine)”命名的虛擬機后，會使用vmconnect.exe嘗試連接。一份2016年7月28日的Windows事件日志，清楚地揭示出，攻擊者濫用合法工具在被感染機器上創建并訪問VM。

事件日志顯示，對手使用MMC來創建并嘗試啟動新的VM。如果新建VM沒有啟動，攻擊者會直接刪除掉它。由于被感染的系統本身也是虛擬機，因而也就不能再啟動一個新的VM了。

SecureWorks點出，該事件揭示出的，是攻擊者想要隱藏自身惡意行動和規避檢測的程度。如果攻擊者成功創建并進入了虛擬機，他們可以利用VM來進行各種惡意活動，且事后簡單刪除掉該VM即可清除所有痕跡。