Najprostszym sposobem unikania detekcji jest opóźnienie działania, ponieważ zwykle takie analizy są przerywane po określonym czasie. Jak zauważył Symantec, często podejrzane programy rozpakowują swój złośliwy kod po 5 minutach, a następnie czekają kolejne 20 minut na uruchomienie zadania, po czym dopiero po upływie kolejnych 20 minut zaczyna swoją działalność w sieci. Dzięki temu program ma szansę pozostawania niezauważonym.
Najsprytniejsze realizacje malware używają funkcji API systemu Windows SetWindowsHookExA aby wstrzyknąć się do funkcji obsługi wiadomości, która odpowiada za zdarzenia procesu myszy. Prędzej czy później, użytkownik kliknie „nie tam, gdzie trzeba”, po czym nieświadomie włączy malware. Niestety, na poziomie systemowej analizy zagrożeń, trojan ma szansę pozostania niezauważonym.
Źródło: Heise