Sto analizzando alcuni file dannosi su una VM e sto notando che ogni volta che apro un file, l'antivirus dell'host lo rileva.
Perché succede? Il contenuto dannoso è in esecuzione sull'host?
Quello che immagino stia accadendo è: quando il SO guest legge un file infetto, l'hypervisor legge parte del file del disco virtuale, l'antivirus dell'host intercetta questa lettura, la ricerca per i virus e rileva il virus nell'ospite.
Per risolvere il problema, configurare l'host AV in modo che ignori i file del disco virtuale.
Sembra che l'host e la VM non siano isolati.
Forse, c'è una connessione di rete ogni volta che apri questo file. Inoltre, l'antivirus potrebbe aver rilevato una minaccia se sono presenti cartelle condivise tra la VM e l'host.
Vorrei controllare la configurazione di rete e i file condivisi.
Leggi altre domande sui tag virtualization malware antimalware