De-a lungul anilor, dezvoltatorii de malware și experții în securitate cibernetică au încercat să se răzbune. Recent, comunitatea de dezvoltatori malware a implementat o nouă strategie de sustragere a detectării: verificarea rezoluției ecranului.
Să explorăm de ce rezoluția ecranului contează pentru malware și ce înseamnă pentru tine.
De ce programul malware îi pasă de rezoluția ecranului
Pentru a afla de ce malware îi pasă de rezoluția ecranului, trebuie să aruncăm o privire la unul dintre cei mai răi dușmani ai săi; mașină virtuală Ce este o mașină virtuală? Tot ce trebuie să știțiMașinile virtuale vă permit să rulați alte sisteme de operare pe computerul dvs. curent. Iată ce ar trebui să știți despre ei. Citeste mai mult .
Mașinile virtuale sunt un instrument util pentru cercetătorii de virus. Acestea acționează ca un „computer în interiorul unui computer”, astfel încât puteți utiliza un alt sistem de operare fără a avea nevoie de un computer nou.
De exemplu, dacă aveți un computer Windows 10, dar doriți să utilizați Linux, puteți configura o mașină virtuală în Windows 10 pentru a rula Linux. Va acționa la fel ca o mașină Linux, dar se execută într-o fereastră în Windows 10.
Mașinile virtuale sunt extrem de utile cercetătorilor de virus, deoarece acționează ca o capcană digitală a mustei cu venus. Dacă un cercetător crede că un program sau fișier conține un virus, îl poate testa rulând într-o mașină virtuală.
Dacă fișierul conține un virus, acesta va începe să infecteze mașina virtuală. Deoarece o mașină virtuală este configurată ca una reală, virusul consideră că infectează un PC real și nu unul virtual. Ca atare, începe să-și livreze sarcina utilă și să afecteze mașina virtuală. Din fericire, niciunul dintre pagubele pe care un virus nu le „transportă” pe computerul principal; îl afectează doar pe cel virtual.
Odată ce virusul a dat jocul departe, cercetătorul poate studia cum funcționează, apoi resetează mașina virtuală. Atunci iau ce au învățat de la mașina virtuală și o folosesc pentru a crea definiții de virus pentru a proteja computerele reale ale oamenilor.
Din această cauză, mașinile virtuale sunt interdicția dezvoltatorilor de malware. Dacă cineva bănuiește că un program conține malware, îl poate porni într-o mașină virtuală și îl poate elimina dacă este rău.
Unde vine rezolvarea ecranului?
Există un defect cu această metodă de testare a aplicațiilor. Atunci când un cercetător malware creează o mașină virtuală, nu sunt interesați cu adevărat de toate funcțiile suplimentare. Tot ce trebuie să testeze virușii este o mașină virtuală care acționează ca un computer normal - orice altceva este opțional.
Drept urmare, cercetătorii nu instalează uneori software-ul invitat al VM. Acest software permite funcții suplimentare, precum rezoluții de ecran mai mari, de care cercetătorul nu are nevoie cu adevărat. Dacă utilizatorul nu utilizează software-ul invitat, VM în general îl blochează pe unul dintre cele două rezoluții scăzute: 800 × 600 și 1024 × 768.
Aceste două rezoluții sunt importante pentru un dezvoltator malware. Calculatoarele și laptopurile moderne nu vin în mod obișnuit cu ecrane la această rezoluție; este foarte depășit.
De fapt, puteți vedea cât de depășită este StatCounter, care colectează informații despre cele mai utilizate rezoluții. În momentul scrierii, rezoluțiile tind să fie mai mari sau mai mici decât exemplele VM de mai sus.
Pe o parte a spectrului, aveți o rezoluție standard de 1366 × 768 pentru laptopuri și 1920 × 1080 pentru monitoarele PC. Pe de altă parte, veți găsi mici ecrane 360 × 640 utilizate - acestea sunt smartphone-uri.
800 × 600 și 1024 × 768 nu apar deloc. Inversul acestuia din urmă, 768 × 1024, există; aceasta este o rezoluție iPad. Cu toate acestea, chiar și acest lucru ocupă doar 2,6 la sută, ceea ce înseamnă că 97,4 la sută dintre dispozitive folosesc rezoluții diferite.
Cum folosește programele malware aceste date pentru a evita VM-urile
Ca atare, când programul malware aterizează pe un computer gazdă și observă că funcționează fie pe 800 × 600 fie 1024 × 768, este fie pe hardware foarte depășit, fie - mai probabil - sunt vizionate într-un virtual mașinărie.
Dacă virusul funcționează în această condiție, acesta va da jocul imediat sub ochii unui cercetător de virus. Ca atare, pentru a-și proteja secretele, malware în loc să se auto-încheie și nu dăunează.
Din perspectiva cercetătorului, programul a rulat și nu a infectat computerul, deci trebuie să fie benign. Aceștia pot atribui apoi un raport fals negativ pentru program, permițând programului malware să călătorească mai departe înainte de a fi capturat în cele din urmă.
Exemple de malware-Verificare de rezoluție în lumea reală
Trickbot este un exemplu excelent al acestei tactici în sălbăticie. Cercetătorii au reușit să intre într-o tulpină recentă a codului TrickBot și au analizat modul în care funcționează. Un utilizator Twitter cunoscut sub numele de Mak (@maciekkotowicz) a găsit o bucată de cod în TrickBot care scanează o rezoluție de 800 × 600 sau 1024 × 768.
ale zilei #Trickbot încărcătoare cu rezoluție ecran #antivm truc, dacă aveți rezoluție de 800 × 600 sau 1024 × 768 - sunteți în siguranță! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 iunie 2020
În această bucată de cod, virusul apucă valorile X și Y ale rezoluției computerului, apoi le combină pentru a vedea rezultatul. Dacă rezultatul este egal cu 800 × 600 sau 1024 × 768, codul returnează numărul 0. Acest lucru spune malware-ului că rulează într-o mașină virtuală.
După ce malware-ul știe că se află într-o mașină virtuală, se autodistruge pentru a evita detectarea. Drept urmare, oricine verifică virușii într-o mașină virtuală îl va considera în mod incorect.
Ce înseamnă această tactică pentru tine
Desigur, acest lucru înseamnă că, dacă ați utilizat o rezoluție 1024 × 768 sau 800 × 600, veți avea protecție împotriva unor tulburări de malware. De îndată ce sosesc, își vor nota rezoluția și se vor detona automat înainte de a face pagube. Cu toate acestea, ceea ce câștigați în materie de protecție, veți pierde din sănătate prin utilizarea unui computer cu o rezoluție atât de înghesuită!
Ca atare, cel mai bun pariu pentru combaterea acestei noi tulpini de malware este actualizarea antivirusului. Acum, că acest truc anti-VM este o cunoaștere publică, este puțin probabil ca companiile de securitate high-end să fie păcălite din nou.
Cu toate acestea, este important să rețineți dacă aveți tendința de a testa fișierele în propriile dvs. mașini virtuale. Dacă mașina dvs. virtuală rulează la 800 × 600 sau 1024 × 768, merită să o setați la o rezoluție mai populară. Dacă nu, nu puteți fi sigur dacă fișierul pe care îl testați are instalat această precauție anti-VM.
Rămâi în siguranță împotriva virușilor trimiși
Odată cu securitatea cibernetică devenind marea industrie care este, dezvoltatorii malware trebuie să se adapteze pentru a rămâne cu un pas înainte. Noile tulpini de malware vor evada capturarea dacă sunt rulate într-o VM nepregătită, așa că dacă utilizați VM-uri pentru testarea virusului, asigurați-vă că trebuie să aveți în vedere acest lucru.
Cel mai bun antivirus este bunul simț, deci de ce să nu înveți modalități ușoare de a nu obține niciodată un virus 10 moduri ușoare de a nu obține niciodată un virusCu puțină pregătire de bază, puteți evita complet problema virușilor și programelor malware pe computerele și dispozitivele mobile. Acum vă puteți calma și bucura de internet! Citeste mai mult ?
Dezvăluirea afiliatului: Cumpărând produsele pe care vi le recomandăm, vă ajutați să mențineți viața site-ului. Citeste mai mult.
Un licențiat în științe informatice, cu o pasiune profundă pentru securitatea tuturor lucrurilor. După ce a lucrat pentru un studio de jocuri indie, și-a găsit pasiunea pentru scris și a decis să-și folosească setul de abilități pentru a scrie despre toate tehnologiile.
