Angripere vet sikkerhetsforskere bruke virtuelle maskiner for å analysere potensialet malware på grunn av synligheten disse miljøene gi dem i handlingene til malware, og fordi de hindrer malware fra å angripe produksjonssystemer.

en av de nyeste standardkontroller vedtatt av malware forfattere er å se om nedsatt verten er et virtuelt miljø. Hvis det virkelig er et virtuelt miljø, vil malware stoppe eller endre sin atferd for å hindre analyse. Det er flere forskjellige måter malware avgjør om verten er et virtuelt miljø, som for eksempel å sjekke om visse enhetsdrivere eller virtuell maskin administrasjonsverktøy er installert. Den Dridex banktrojaneren benytter spesielt en Excel makro-funksjon for å oppdage om malware opererer i et virtuelt miljø.

Forsvar mot Dridex banktrojaneren krever de samme kontrollene som tradisjonell deteksjon malware, som å bruke antimalware verktøy, sikring endepunktet, eller ved hjelp av et nettverksbasert antimalware verktøy.

Men sikkerhetsforskere og hendelses responders bør ta deteksjon virtuelt miljø i betraktning når analysere potensialet malware. Dette bestemte malware brukt passordbeskyttede makroer, prøvde å detektere et virtuelt miljø og brukes uklar kode - alle ting forskerne kunne bruke til å identifisere Dridex og andre potensielle malware

.