De onderzoekers van de Carnegie Mellon en Stanford claimen dat de kwaadaardigde hypervisors waar rootkits gebruik van maken, altijd afwijkingen creëren waarmee ze zichzelf verraden, zo meldt Security.nl.

"Hoe minimaal de kwaadaardigde vmm (virtual machine monitor) ook is, hij verbruikt fysieke middelen, verstoort timings en moet maatregelen nemen om zichzelf tegen de gast te beschermen", aldus de onderzoekers, die beweren dat de malware daardoor niet zo kwetsbaar is geworden om te worden ontdekt als andere vmm's.

Onderzoekster Joanna Rutkowska demonstreerde vorig jaar op de Black Hat-conferentie haar 'Blue Pill'. Met deze virtualisatietechnologie, claimde zij, kunnen kwaadaardige codes onvindbaar gemaakt worden. Zo wist de Poolse onder meer de beveiliging in Vista te omzeilen.

Maar de onderzoekers spreken Rutkowska dus in hun rapport ( pdf-bestand) tegen. Zowel het verbruik van fysieke middelen als de logische verschillen tussen interfaces en virtuele hardware, verraden de aanwezigheid van hypervisors, aldus de onderzoekers.