От години разработчиците на зловреден софтуер и експертите по киберсигурност са имали напрегнати конфронтации. Наскоро общността на разработчиците на зловреден софтуер внедри нова стратегия за избягване на откриването: Проверете разделителната способност на екрана.
Нека проучим защо разделителната способност на екрана има значение за злонамерения софтуер и какво означава това за вас.
Защо зловреден софтуер се интересува от разделителната способност на екрана?
За да разберете защо зловреден софтуер се интересува от разделителната способност на екрана, помислете за един от враговете на зловреден софтуер: виртуални машини .
Виртуалните машини са полезен инструмент за изследователите на вируси. Те работят като един компютър в друг, така че можете да използвате различна операционна система, без да имате нужда от нов компютър.
Например, ако имате компютър с Windows 10, но искате да използвате Linux, можете да настроите виртуална машина в Windows 10, за да работи с Linux. Той ще функционира като компютър с Linux, но ще работи в прозорец на Windows 10.
Виртуалните машини са много полезни за изследователите на вируси, защото действат като дигитален капан за мухи. Ако изследовател смята, че програма или файл съдържа вирус, той може да го тества, като го стартира във виртуална машина.
Ако файлът съдържа вирус, той ще започне да заразява виртуалната машина. Тъй като виртуалната машина е настроена да изглежда като истинска машина, вирусът вярва, че е заразил истински компютър, а не виртуална машина. Като такъв, той започва да доставя своя полезен товар и да причинява щети на виртуалната машина. За щастие вирусът не може да навреди на основния компютър. Засяга само виртуални машини.
След като вирусът бъде разкрит, изследователите могат да научат как работи, след което да нулират виртуалната машина. След това те взеха наученото от виртуалната машина и го използваха, за да създадат вирусни дефиниции, за да защитят потребителите на реални компютри. Поради това виртуалните машини са враждебни към разработчиците на зловреден софтуер.
Каква роля играе разделителната способност на екрана в това?
Има недостатък в този метод за тестване на приложението. Когато изследователите на зловреден софтуер създават виртуална машина, те всъщност не се интересуват от всички допълнителни функции. Всичко, от което се нуждаят, за да тестват за вируси, е виртуална машина, която действа като нормален компютър, всичко останало е само по избор.
В резултат на това изследователите понякога не инсталират гост софтуера на VM. Този софтуер активира допълнителни функции като по-висока разделителна способност на екрана, от които изследователят всъщност не се нуждаеше. Ако потребителят не използва ��лиентски софтуер, виртуалната машина обикновено заключва потребителя в една от двете ниски разделителни способности: 800x600 и 1024x768.
Тези две резолюции са много важни за разработчика на зловреден софтуер. Съвременните компютри и лаптопи не идват често с екрани с тази резолюция. Този размер е много остарял.
Популярни разделителни способности на устройството
Как злонамереният софтуер използва тези данни, за да избегне виртуални машини?
По този начин, когато зловреден софтуер се появи на хост компютър и се забележи, че той работи с разделителна способност 800 × 600 или 1024 × 768, това означава, че злонамереният софтуер вероятно работи на много остарял или потенциално способен хардуер. .
Ако вирусът работи при тези условия, той ще бъде изложен. По този начин, за да се защитите, злонамереният софтуер ще се прекрати сам и няма да причини щети.
От гледна точка на изследователя програмата работи и не заразява компютъра, така че не е вирус. След това те могат да направят грешни предположения за програмата, позволявайки на злонамерения софтуер да пътува по-далеч, преди да бъде открит.
Пример за тестване на злонамерен софтуер в реални условия
Trickbot е чудесен пример за тази тактика в действие. Изследователите наскоро успяха да проникнат в ред от код на TrickBot и да анализират как работи. Потребител на Twitter на име Мак (@maciekkotowicz) намери код в TrickBot, който сканира разделителна способност 800×600 или 1024×768.
Кодът в TrickBot сканира с резолюция 800×600 или 1024×768
В този код вирусът взема стойностите X и Y на разделителната способност на компютъра, след което ги комбинира, за да види резултата. Ако резултатът е 800 × 600 или 1024 × 768, кодът ще върне 0. Това показва злонамерен софтуер, работещ във виртуална машина.
След като зловредният софтуер разбере, че е във виртуална машина, той се самоунищожава, за да избегне откриването. В резултат на това всеки, който проверява за вируси във виртуална машина, ще я счита за безопасна.
Какво означава тази стратегия за вас?
Разбира се, това означава, че ако използвате резолюция 1024x768 или 800x600, ще бъдете защитени от някои видове зловреден софтуер. Веднага щом стигнат до системата, те ще отбележат вашата резолюция и ще се самоунищожат, преди да причинят щети. За да получите тази защита обаче, ще трябва да използвате компютър с много малка резолюция!
Като такъв, най-добрият начин за борба с този нов тип зловреден софтуер е да актуализирате своя антивирусен софтуер . Сега този анти-VM трик е публично известен, така че е много малко вероятно компаниите за сигурност от висок клас да бъдат измамени отново.
Това обаче е особено важно да имате предвид, ако сте склонни да проверявате файлове във вашите собствени виртуални машини. Ако вашата виртуална машина работи на 800 × 600 или 1024 × 768, може да си струва да я настроите на по-често срещаната разделителна способност. Ако не го направите, е невъзможно да сте сигурни дали файлът, който проверявате, има инсталирана тази анти-VM предпазна мярка.
Scareware е злонамерена компютърна програма, предназначена да подмами потребителите да мислят, че е легитимно приложение и ви моли да харчите пари за нещо, което не прави нищо.
cFosSpeed е софтуер, който увеличава скоростта на интернет връзката, намалява латентността на предаване и увеличава силата на връзката до около 3 пъти. Специално за тези, които играят онлайн игри, cFosSpeed ще поддържа, за да можете да изпитате играта без проблеми с мрежата.
Защитната стена на Windows с разширена защита е защитна стена, която работи на Windows Server 2012 и е активирана по подразбиране. Настройките на защитната стена в Windows Server 2012 се управляват в конзолата за управление на защитната стена на Windows.
Когато променят паролата на администраторската страница за вход на Vigor Draytek Modem и Router, потребителите ще ограничат неоторизиран достъп за промяна на паролата на модема, осигурявайки важна мрежова информация.
За щастие, потребителите на компютри с Windows, работещи с процесори AMD Ryzen, могат да използват Ryzen Master за лесно овърклокване на RAM, без да докосват BIOS.
USB-C портът се превърна в стандарт за пренос на данни, видео изход и зареждане на модерни лаптопи с Windows. Въпреки че това е удобно, може да бъде разочароващо, когато включите лаптопа си в USB-C зарядно устройство и то не се зарежда.
Грешката Cannot Create Service на Ultraviewer възниква, когато инсталираме софтуера с код на грешка 1072.
Грешката да не се показва ID на Ultraviewer ще засегне връзката с отдалечен компютър.
Ultraviewer управлява компютъра дистанционно и има режим за изпращане и получаване на файлове.
Обикновено, когато изтривате файл в Windows, файлът няма да бъде изтрит веднага, а ще бъде записан в кошчето. След това ще трябва да направите още една стъпка: изпразнете кошчето. Но ако не искате да правите тази втора стъпка, ще ви покажем как да изтриете файл за постоянно в статията по-долу.
