Gjennom årene har malware-utviklere og cybersecurity-eksperter vært i krig for å prøve å oppfylle hverandre. Nylig distribuerte malware-utviklermiljøet en ny strategi om å unngå evt. Å sjekke skjermoppløsningen.
La oss utforske hvorfor skjermoppløsning betyr noe for skadelig programvare, og hva det betyr for deg.
Hvorfor skadelig programvare bryr seg om skjermoppløsning
For å finne ut hvorfor malware bryr seg om skjermoppløsningen, må vi ta en titt på en av de verste fiendene; de virtuell maskin Hva er en virtuell maskin? Alt du trenger å viteVirtuelle maskiner lar deg kjøre andre operativsystemer på din nåværende datamaskin. Her er hva du bør vite om dem. Les mer .
Virtuelle maskiner er et nyttig verktøy for virusforskere. De fungerer som en "datamaskin på innsiden av en datamaskin", slik at du kan bruke et annet operativsystem uten å trenge en ny PC.
For eksempel, hvis du har en Windows 10-datamaskin, men du vil bruke Linux, kan du sette opp en virtuell maskin inne i Windows 10 for å kjøre Linux. Den vil fungere akkurat som en Linux-maskin, men kjører i et vindu i Windows 10.
Virtuelle maskiner er svært nyttige for virusforskere, da de fungerer som en digital venusfluefelle. Hvis en forsker mener et program eller fil inneholder et virus, kan de teste det ved å kjøre det på en virtuell maskin.
Hvis filen inneholder et virus, vil den begynne å infisere den virtuelle maskinen. Fordi en virtuell maskin er satt opp som en ekte, mener viruset at den smitter på en ekte PC og ikke en virtuell. Som sådan begynner den å levere nyttelasten sin og gjøre skade på den virtuelle maskinen. Heldigvis er ingen av skadene et virus "overfører" til hoveddatamaskinen; det påvirker bare den virtuelle.
Når viruset har gitt spillet bort, kan forskeren studere hvordan det fungerer og deretter tilbakestille den virtuelle maskinen. De tar deretter det de lærte av den virtuelle maskinen og bruker den til å lage virusdefinisjoner for å beskytte menneskers virkelige datamaskiner.
På grunn av dette er virtuelle maskiner bane for malware-utviklere. Hvis noen mistenker at et program har malware, kan de starte det opp i en virtuell maskin og skrubbe det bort hvis det er dårlig.
Hvor kommer skjermoppløsningen inn i dette?
Det er en feil med denne metoden for å teste apper. Når en skadelig forsker lager en virtuell maskin, er de ikke veldig interessert i alle tilleggsfunksjonene. Alt de trenger for å teste for virus er en virtuell maskin som fungerer som en vanlig datamaskin - alt annet er valgfritt.
Som et resultat installerer forskere noen ganger ikke VMs gjesteprogramvare. Denne programvaren muliggjør tilleggsfunksjoner som høyere skjermoppløsninger, som forskeren ikke egentlig trenger. Hvis brukeren ikke bruker gjesteprogramvaren, låser VM vanligvis brukeren i en av to lave oppløsninger: 800 × 600 og 1024 × 768.
Disse to oppløsningene er viktige for en malware-utvikler. Moderne datamaskiner og bærbare datamaskiner kommer vanligvis ikke med skjermer med den oppløsningen. det er veldig utdatert.
Faktisk kan du se hvor utdatert det er på Statcounter, som samler informasjon om de mest brukte oppløsningene. I skrivende stund har oppløsningene en tendens til å være større eller mindre enn VM-eksemplene ovenfor.
På den ene siden av spekteret har du standard 1366 × 768-oppløsning for bærbare datamaskiner og 1920 × 1080 for PC-skjermer. På den andre siden finner du bittesmå 360 × 640 skjermer i bruk - dette er smarttelefoner.
800 × 600 og 1024 × 768 vises ikke i det hele tatt. Det motsatte av sistnevnte, 768 × 1024, eksisterer; dette er en iPad-oppløsning. Selv dette tar imidlertid bare opp 2,6 prosent, noe som betyr at 97,4 prosent av enhetene bruker forskjellige oppløsninger.
Hvordan skadelig programvare bruker disse dataene for å unngå VM-er
Som sådan, når malware lander på en vertsdatamaskin og bemerker at den kjører på enten 800 × 600 eller 1024 × 768, er det enten på veldig utdatert maskinvare eller - mer sannsynlig - de blir sett på i en virtuell maskin.
Hvis viruset opererer under denne tilstanden, vil det gi spillet rett under øynene av en virusforsker. Som sådan, for å beskytte hemmelighetene, avslutter skadelig programvare i stedet selv noen skade.
Fra forskerens perspektiv kjørte programmet og infiserte ikke PC-en, så den må være godartet. De kan deretter tildele en falsk negativ rapport for programmet, slik at skadelig programvare kan reise videre før det endelig blir fanget.
Eksempler på oppløsningskontroll av skadelig programvare i den virkelige verden
Trickbot er et utmerket eksempel på denne taktikken ute i naturen. Forskere klarte å bryte inn en nylig stamme av TrickBot-koden og analyserte hvordan den fungerer. Én Twitter-bruker, kjent som Mak (@maciekkotowicz), fant en del av koden i TrickBot som søker etter en oppløsning på 800 × 600 eller 1024 × 768.
dagens #Trickbot lastere med skjermoppløsning #antivm triks, hvis du har 800 × 600 eller 1024 × 768 oppløsning - er du trygg! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. juni 2020
I dette koden inneholder viruset X- og Y-verdiene i datamaskinens oppløsning og kombinerer dem for å se resultatet. Hvis resultatet tilsvarer enten 800 × 600 eller 1024 × 768, returnerer koden tallet 0. Dette forteller skadelig programvare at den kjører i en VM.
Når skadelig programvare vet at den er i en virtuell maskin, ødelegger den selv for å unngå oppdagelse. Som et resultat vil alle som ser etter virus i en virtuell maskin feilaktig anse det som trygt.
Hva denne taktikken betyr for deg
Selvfølgelig betyr dette at hvis du brukte en oppløsning på 1024 × 768 eller 800 × 600, vil du ha beskyttelse mot noen stammer av skadelig programvare. Så snart de ankommer, vil de legge merke til oppløsningen din og detoneres før de gjør noen skade. Det du imidlertid får i beskyttelsen, vil du miste tilregneligheten din ved å bruke en datamaskin med en så trang oppløsning!
Som sådan er det beste alternativet for å bekjempe denne nye stammen av malware å oppdatere antivirusprogrammet ditt. Nå som dette anti-VM-trikset er offentlig kunnskap, er det lite sannsynlig at high-end sikkerhetsselskapene vil bli lurt igjen.
Dette er imidlertid viktig å merke seg hvis du har en tendens til å teste ut filer på dine egne virtuelle maskiner. Hvis din VM kjører på 800 × 600 eller 1024 × 768, er det verdt å sette den til en mer populær oppløsning. Hvis du ikke gjør det, kan du ikke være sikker på om filen du tester har denne anti-VM-forholdsregelen installert.
Å holde seg trygge mot lure virus
Med cybersecurity blir den enorme industrien som det er, må malware-utviklere tilpasse seg for å ligge et skritt foran. Nye stammer av skadelig programvare vil unngå unnfangelse hvis de kjøres i en uforberedt VM, så hvis du bruker VM-er til virustesting, må du huske dette.
Det beste antivirusprogrammet er sunn fornuft, så hvorfor ikke lære det enkle måter å aldri få et virus på 10 enkle måter å aldri få et virus påMed litt grunnleggende opplæring kan du unngå problemet med virus og skadelig programvare på datamaskiner og mobile enheter. Nå kan du roe deg ned og glede deg over internett! Les mer ?
Tilknyttet informasjon: Ved å kjøpe produktene vi anbefaler, hjelper du å holde nettstedet i live. Les mer.
En datateknikk BSc utdannet med en dyp lidenskap for alle ting sikkerhet. Etter å ha jobbet i et indie-spillstudio, fant han lidenskapen sin for å skrive og bestemte seg for å bruke ferdighetssettet sitt til å skrive om alle tekniske ting.
