Розробники шкідливого ПЗ часом вдаються до дещо незвичним технікам для ухилення від виявлення антивірусними рішеннями або дослідниками в області кібербезпеки. Прикладом тому може служити автор шкідливих сімейств XXMM, ShadowWali і Wali, що приховує шкідливий код в файлах, розміри яких можуть варіюватися від 50 МБ до 200 МБ (в основному за рахунок «сміттєвих» даних). Це досить дивно, так як зазвичай розмір шкідливого ПЗ становить всього кілька КБ.

На думку деяких експертів, творець XXMM, ShadowWali і Wali (хтось під псевдонімом 123) помилково вважає, що впроваджуючи шкідливе ПО в великі файли, зможе уникнути перевірки захисними рішеннями, які не будуть їх сканувати, вважаючи легітимними додатками. Відповідно до іншої теорії, таким чином 123 прагне уникнути виявлення сканерами компаній, що спеціалізуються в області кібербезпеки, які дуже часто відслідковують тільки невеликі файли розміром в декілька КБ.

Перші атаки з використанням бекдора XXMM, спрямовані в основному на організації в Японії і Південній Кореї, були помічені в 2015 році. Наступний бекдор, Wali, експерти «Лабораторії Касперського» описали в середині квітня нинішнього року, а через два тижні фахівці Cybereason виявили ще одне шкідливе сімейство, яке отримало назву ShadowWali.

Як вважають дослідники, ShadowWali є ранньою версією Wali. Даний висновок зроблений на основі того, що обидва шкідливий володіють схожим функціоналом, але перший підтримує лише 32-розрядну архітектуру, тоді як Wali може працювати на 32- і 64-бітних системах.

Після установки на системі шкідливий впроваджуються в процеси explorer. exe (Windows Explorer) і lsass. exe (Local Security Authority Subsystem Service). Далі шкідливі програми завантажують інструменти, в тому числі модуль Mimkatz, для розкрадання облікових даних з цільового комп'ютера і дослідження локальної мережі. Крадені дані 123 використовує для просування по мережі і пошуку іншої важливої ??інформації. З якою метою вірусописьменників викрадає дані в даний час невідомо.