Las muestras de malware utilizan trucos cada vez más refinados para evitar ser detectados por los sistemas de análisis de amenazas automatizados. La compañía antivirus Symantec reporta que ha encontrado un virus troyano que inserta su código malicioso en las rutinas usadas para el manejo de eventos del mouse.  

Como en un sistema de análisis de amenazas automático nadie mueve el mouse, el código se mantiene inactivo y por lo tanto el troyano no puede ser detectado.

En vista de la expansión de nuevas variantes de malware, (Symantec anuncia alrededor de 1 millón al día) los sistemas de detección de amenazas totalmente automatizados deben hacer la mayor parte del trabajo inicial para la creación de firmas de virus. Esto incluye sistemas en los que una muestra potencial de malware es ejecutada y supervisada. La evaluación de resultados es también un proceso automatizado, solo los casos más sospechosos son investigados detenidamente por una persona.

El método más simple para evadir esta forma de detección es permitir que pase el tiempo, ya que dichos análisis suelen ser interrumpidos tras cierto periodo. Según lo observado por Symantec, si un programa sospechoso solo descomprime su código malicioso al cabo de 5 minutos, posteriormente espera otros 20 minutos antes de insertarse en el código de registro y finalmente comienza sus actividades en la red 20 minutos más tarde, tendrá una buena oportunidad de evitar ser detectado.

Una variable de malware aún más inteligente utiliza la función SetWindowsHookExA de la API de Windows para inyectarse a sí misma en las funciones de tratamiento de mensajes que procesan los eventos del mouse. En un sistema Windows normal, un usuario tarde o temprano hará clic en algo y activará el malware sin saberlo, pero en un sistema de análisis de amenazas, el malware tiene buenas posibilidades de permanecer sin ser detectado. Ahora, las compañías antivirus necesitan inmediatamente introducir movimientos del mouse virtuales para sus análisis.