Under the hood of Wslink’s multilayered virtual machine

ESET researchers recently described Wslink, a unique and previously undocumented malicious loader that runs as a server and that features a virtual-machine-based obfuscator. In this white paper, we describe the structure of the virtual machine used in samples of Wslink and suggest a possible approach to see through the obfuscation techniques used in the analyzed samples. We demonstrate our approach on chunks of code of the protected sample.

During our research, we were able to successfully design and implement a semiautomatic solution capable of significantly facilitating analysis of the underlying program’s code. The virtual machine introduced a diverse arsenal of obfuscation techniques, which we were able to overcome to reveal a part of the de-obfuscated malicious code that we describe in this document.

In the last sections of this analysis, we present parts of the code that we developed to facilitate our research. This white paper also provides an overview of the internal structure of virtual machines in general, and it introduces some important terms and frameworks that are used in our detailed analysis of the Wslink virtual machine.

Download publication

Related to this topic

PREMIUM CONTENT

WHITE PAPERS

Ransomware - malicious code, pressure, and manipulation

Let’s explore how ransomware has become a major problem, what techniques ransomware gangs use, and adjust your organization to the current standards in risk reduction.

Read now

PREMIUM CONTENT

REPORTS

ESET Threat Report T2 2022

Enter the world of investigating the latest trends in cybersecurity threats that jeopardize the virtual presence of many organizations in the contemporary world.

Ready for next step?

Enter the world of enterprise protection

Explore

NL
Voor bedrijven
ESET Digital Security Insights
Foto's
Under the hood of Wslink’s multilayered virtual machine

ESET

Voor Thuis
Persoonlijke apparaten Persoonlijke apparaten
HOME Security
Alles-in-een beveiliging van jouw digitale leven. Kies een beveiligingsniveau dat bij jouw behoeften past.
KIES JOUW NIVEAU
Speciale oplossingen voor:
ZZP en Thuiskantoor

Privacybescherming

Smartphones

Ouderlijk toezicht
Thuiskantoor & ZZP Thuiskantoor & ZZP
Beveiliging voor ZZP en Thuiskantoor
Betrouwbare en gebruiksvriendelijke bescherming, op maat gemaakt voor ZZP en thuiskantoor.
ONTDEK OPLOSSING
Complete beveiliging voor ZZP en thuiskantoor:
Bescherming tegen malware, ransomware en phishing
Doorlopend Veilig Internetbankieren
Versleuteling van gevoelige data
Ongelimiteerde VPN
en veel meer
Waarom ESET Waarom ESET
GENIET VAN DE DINGEN DIE BELANGRIJK ZIJN,
LAAT DE REST OVER AAN ESET
Ontdek wat onze bekroonde digitale beveiligingsoplossing speciaal maakt en hoe deze jou kan helpen je apparaten te beschermen.
ONTDEK MEER
Klantenservice Klantenservice
Verlengen
Verleng uw huidige ESET licentie
Verleng nu
Klantenservice
Neem contact op of bekijk veelgestelde vragen
Meer informatie
Vergelijk alle producten
Voor Windows, Mac, Android
Voor Bedrijven
Zakelijke beveiliging Zakelijke beveiliging
ZAKELIJKE
BEVEILIGING
Bescherm uw endpoint,
bedrijfsgegevens en gebruikers
Oplossingen voor bedrijven
Aanbevolen oplossingen:
ESET PROTECT MDR
ESET PROTECT Complete
ESET PROTECT Advanced
Aanbevolen service:
Managed Detection & Response
Probeer gratis uit
Enterprise oplossingen Enterprise oplossingen
ENTERPRISE
OPLOSSINGEN
Toekomstbestendige cybersecurity
voor krachtige beveiliging van enterprises
Oplossingen voor enterprises
Aanbevolen beveiligingsniveau's
ESET PROTECT MDR Ultimate
Alles-in-één bescherming met premium 24/7 MDR service
ESET PROTECT Elite
Alles-in-één bescherming met XDR om inbreuken te voorkomen

Aanbevolen services
Managed Detection & Response
Premium Support
Threat Intelligence
ESET services ESET services
ESET MDR SERVICES
Bereik de hoogste mate van beveiliging met 24/7 MDR threat management services en expertise van wereldklasse.
Ontdek services
Aanbevolen services
Premium Support
Threat Intelligence
Overzicht van ESET Services
Waarom ESET Waarom ESET
Waarom kiezen voor ESET?
ESET is gebouwd op vertrouwen en stabiliteit, waardoor het toonaangevende technologie kan bieden door middel van uitmuntend onderzoek.
WAAROM ESET?
Aanvullende informatie en bronnen
Superieure technologie
Erkenning door de industrie
Corporate blog
ESET PROTECT PLATFORM ESET PROTECT PLATFORM

ESET PROTECT PLATFORM
Meer informatie over ons geïntegreerde cyberbeveiligingsplatform en de unieke uitgebalanceerde mogelijkheden ervan.
Ontdek platform
Platform modules
Modern Endpoint Protection
Extended Detection & Response
Mobile Threat Defense
Server Security
Encryptie
Multifactorauthenticatie
Advanced Threat Defense
Mail Server Security
Cloud Application Protection
Vulnerability & Patch Management
Threat Intelligence
MDR Services
Premium Support Services
Console
Voor IT-Partners
Partner in security worden Partner in security worden
Samen Nederland veiliger maken
Samen Nederland
veiliger maken
Inschrijven als partner
Partnerships
MSP-Programma
ISP & Telco
Technology Alliance
Vind een partner Vind een partner

Vind een Partner in Security
Vertrouw security toe aan onze gecertificeerde partners
Advies op maat over het best passende beveiligingsniveau voor de huidige en gewenste situatie
Maak een keuze op basis van expertise, locatie of partnerstatus
Vind een partner
Inschrijven als partner
Partner in Security worden
Download
Download Download
Download voor Thuis en ZZP & Thuiskantoor
Gratis uitproberen
Download software
Download voor Bedrijven
Gratis uitproberen
Download software
Tools en toepassingen
Bestaande klant?