惡意軟件編寫者正在找出哪些電腦是潛在的受害者，而哪些是正在使用的虛擬機的白帽子。根據SentinelOne高級研究員迦勒芬頓表示，他找到了一種惡意軟件新技術，可以檢測當下的運行環境是否是虛擬機。在研究一款蠕蟲的時候，他們驚奇地發現這款蠕蟲惡意軟件拒絕運行，因為虛擬機沒有任何Word文檔曾經打開的證據。

大多數用戶，除非他們剛剛安裝Word，否則將至少會已經打開過2個Word文件。不過，在測試虛擬機上，安全人員通常不會安裝Word。

如果惡意軟件可以足夠聰明，知道當它在虛擬機中進行測試，這樣可避免做任何可疑或惡意的行為，從而增加它被檢測出所需的時間。