На прошлой неделе ИБ-специалист CERT/CC Уилл Дорманн (Will Dormann) опубликовал исследование, посвященное тому, как Windows работает с образами дисков VHD и VHDX. Дорманн объяснял, что для ОС такие образы, в сущности, являются черным ящиком, и сканирование файлов внутри них не осуществляется до тех пор, пока образ не будет смонтирован, а файлы не запустятся.

Хуже того, антивирусы тоже игнорируют содержимое таких образов, которые открываются простым двойным кликом, подобно ZIP-архивам. На видео ниже можно увидеть демонстрацию, во время которой угроза в архиве обнаруживается защитой, а вот виртуальный жесткий диск не вызывает никаких подозрений.