Текстовый документ Microsoft Word, имеющий вредоносный макрос, который способен противодействовать механизмам обнаружения, был выявлен исследователем из SentinelOne Калебом Фэнтоном.
Так, вредоносная программа проводит проверку истории недавно открытых документов Word и проводит анализ системы на наличие виртуальных машин. В случае присутствия таковых или же если файлы Word не открываются на компьютере, то программа не осуществляет никаких вредоносных действий. Кроме того, она проводит проверку того, соответствует ли пользовательский IP-адрес тем адресам, которые относятся к разным хостинговым и антивирусным компаниям.
Как утверждает Фэнтон, пользователи в большинстве своем обычно открывают на компьютере несколько текстовых файлов. Тестовые системы пользуются «чистыми» версиями операционной системы, в которых отсутствуют следы пользовательской активности. Виртуальные машины могут применяться для анализа поведения вредоносной программы. По словам исследователя, если такая программа определяет, что находится на виртуальной машине, то она может не прибегать к подозрительным или вредоносным действиям, что усложняет ее обнаружение.
Фэнтон провел эксперимент, в рамках которого он активировал вредоносную программу и провел анализ ее кода. Выяснилось, что программа осуществляла запуск скрипта PowerShell, который в свою очередь проводил загрузку кейлоггера.