Hvordan malware udnytter skærmopløsningen for at undgå registrering

I årevis har malware-udviklere og cybersikkerhedseksperter haft anspændte konfrontationer. For nylig har malwareudviklingsfællesskabet implementeret en ny strategi for at undgå opdagelse: Tjek skærmopløsning.

Lad os undersøge, hvorfor skærmopløsning betyder noget for malware , og hvad det betyder for dig.

Hvorfor bekymrer malware sig om skærmopløsning?

For at forstå, hvorfor malware bekymrer sig om skærmopløsning, kan du overveje en af ​​malwares nemesis: virtuelle maskiner .

Virtuelle maskiner er et nyttigt værktøj for virusforskere. De fungerer som én computer inde i en anden, så du kan bruge et andet styresystem uden at skulle bruge en ny pc.

For eksempel, hvis du har en Windows 10-computer, men vil bruge Linux, kan du konfigurere en virtuel maskine inde i Windows 10 til at køre Linux. Det fungerer som en Linux-computer, men kører i et vindue på Windows 10.

• 7 måder at hjælpe med at køre Linux-software på Windows

Virtuelle maskiner er meget nyttige for virusforskere, fordi de fungerer som en digital fluefælde. Hvis en forsker mener, at et program eller en fil indeholder en virus, kan de teste den ved at køre den i en virtuel maskine.

Hvis filen indeholder en virus, begynder den at inficere den virtuelle maskine. Fordi en virtuel maskine er sat op til at ligne en rigtig maskine, mener virussen, at den har inficeret en rigtig pc, ikke en virtuel maskine. Som sådan begynder den at levere sin nyttelast og forårsage skade på den virtuelle maskine. Heldigvis er der ingen skade, som virussen kan gøre på hovedcomputeren. Det påvirker kun virtuelle maskiner.

Når virussen er afsløret, kan forskerne lære, hvordan det virker, og derefter nulstille den virtuelle maskine. Dernæst tog de det, de lærte fra den virtuelle maskine, og brugte dem til at lave virusdefinitioner for at beskytte brugere på rigtige computere. På grund af dette er virtuelle maskiner fjendtlige over for malware-udviklere.

Hvilken rolle spiller skærmopløsning i dette?

Der er en fejl med denne applikationstestmetode. Når malware-forskere opretter en virtuel maskine, er de ligeglade med alle de ekstra funktioner. Alt, hvad de behøver for at teste for virus, er en virtuel maskine, der fungerer som en normal computer, alt andet er bare valgfrit.

Som følge heraf installerer forskere nogle gange ikke VM'ens gæstesoftware. Denne software muliggjorde yderligere funktioner såsom højere skærmopløsning, som forskeren egentlig ikke havde brug for. Hvis brugeren ikke bruger klientsoftware, låser VM'en typisk brugeren til en af ​​to lave opløsninger: 800x600 og 1024x768.

Disse to opløsninger er meget vigtige for en malware-udvikler. Moderne computere og bærbare computere kommer ikke ofte med skærme i den opløsning. Den størrelse er meget forældet.

Populære enhedsopløsninger

Hvordan bruger malware disse data til at undgå VM'er?

Når malware vises på en værtscomputer, og det bemærkes, at den kører med en opløsning på 800×600 eller 1024×768, betyder det således, at malwaren sandsynligvis kører på meget forældet eller potentielt egnet hardware overvågede funktioner i en virtuel maskine .

Hvis virussen virker under disse forhold, vil den blive afsløret. For at beskytte dig selv vil malware således ophøre af sig selv og forårsage ingen skade.

Fra forskerens perspektiv kørte programmet og inficerede ikke pc'en, så det var ikke en virus. De kan derefter komme med falske antagelser om programmet, så malwaren kan rejse længere, før den opdages.

Eksempel på malware-test af opløsning i den virkelige verden

Trickbot er et godt eksempel på denne taktik i aktion. Forskere formåede for nylig at bryde ind i en linje med TrickBot-kode og analysere, hvordan det virker. En Twitter-bruger ved navn Mak (@maciekkotowicz) fandt en kode i TrickBot, der scanner 800×600 eller 1024×768 opløsning.

Kode i TrickBot scanner ved 800×600 eller 1024×768 opløsning

I denne kode tager virussen X- og Y-værdierne af computerens opløsning og kombinerer dem derefter for at se resultatet. Hvis resultatet er 800×600 eller 1024×768, vil koden returnere 0. Dette indikerer, at malware kører på en virtuel maskine.

Når først malwaren ved, at den er i en virtuel maskine, ødelægger den sig selv for at undgå opdagelse. Som et resultat vil enhver, der tjekker for virus i en virtuel maskine, betragte den som sikker.

Hvad betyder denne strategi for dig?

Det betyder selvfølgelig, at hvis du bruger 1024x768 eller 800x600 opløsning, vil du være beskyttet mod nogle typer malware. Så snart de når systemet, vil de notere din løsning og selvdestruktion, før de forårsager nogen skade. Men for at få denne beskyttelse, skal du bruge en computer med en meget lille opløsning!

Som sådan er den bedste måde at bekæmpe denne nye type malware på at opdatere din antivirussoftware . Nu er dette anti-VM-trick offentligt kendt, så det er højst usandsynligt, at avancerede sikkerhedsfirmaer vil blive narret igen.

Dette er dog især vigtigt at huske på, hvis du har tendens til at tjekke filer på dine egne virtuelle maskiner. Hvis din virtuelle maskine kører på 800×600 eller 1024×768, kan det være værd at indstille den til den mere almindelige opløsning. Hvis du ikke gør det, er det umuligt at være sikker på, om den fil, du tjekker, har denne anti-VM-foranstaltning installeret.