Vuosien ajan haittaohjelmien kehittäjät ja kyberturvallisuuden asiantuntijat ovat kohdanneet kireitä yhteenottoja. Hiljattain haittaohjelmien kehitysyhteisö on ottanut käyttöön uuden strategian havaitsemisen välttämiseksi: Tarkista näytön resoluutio.
Tutkitaan, miksi näytön resoluutiolla on merkitystä haittaohjelmille ja mitä se tarkoittaa sinulle.
Miksi haittaohjelmat välittävät näytön tarkkuudesta?
Ymmärtääksesi, miksi haittaohjelmat välittävät näytön tarkkuudesta, harkitse yhtä haittaohjelmien vihollisista: Virtuaalikoneet .
Virtuaalikoneet ovat hyödyllinen työkalu virustutkijoille. Ne toimivat kuin tietokone toisen sisällä, joten voit käyttää eri käyttöjärjestelmää tarvitsematta uutta tietokonetta.
Jos sinulla on esimerkiksi Windows 10 -tietokone, mutta haluat käyttää Linuxia, voit määrittää Windows 10:n sisällä virtuaalikoneen Linuxin käyttöä varten. Se toimii kuten Linux-tietokone, mutta toimii ikkunassa Windows 10:ssä.
Virtuaalikoneet ovat erittäin hyödyllisiä virustutkijoille, koska ne toimivat digitaalisena kärpäsloukuna. Jos tutkija uskoo, että ohjelma tai tiedosto sisältää viruksen, hän voi testata sen suorittamalla sen virtuaalikoneessa.
Jos tiedosto sisältää viruksen, se alkaa saastuttaa virtuaalikoneen. Koska virtuaalikone on asetettu näyttämään oikealta koneelta, virus uskoo saastuttaneensa oikean tietokoneen, ei virtuaalikoneen. Sellaisenaan se alkaa toimittaa hyötykuormaa ja aiheuttaa vahinkoa virtuaalikoneen. Onneksi virus ei voi aiheuttaa vahinkoa päätietokoneelle. Se koskee vain virtuaalikoneita.
Kun virus paljastuu, tutkijat voivat oppia, miten se toimii, ja nollata sitten virtuaalikoneen. Seuraavaksi he ottivat virtuaalikoneen oppimaansa ja loivat niiden avulla virusmääritelmiä suojaamaan käyttäjiä oikeilla tietokoneilla. Tämän vuoksi virtuaalikoneet ovat vihamielisiä haittaohjelmien kehittäjille.
Mikä rooli näytön resoluutiolla on tässä?
Tässä sovelluksen testausmenetelmässä on virhe. Kun haittaohjelmien tutkijat luovat virtuaalikoneen, he eivät todellakaan välitä kaikista lisäominaisuuksista. Virusten testaamiseen tarvitaan vain virtuaalikone, joka toimii kuin normaali tietokone, kaikki muu on vain valinnaista.
Tämän seurauksena tutkijat eivät joskus asenna VM:n vierasohjelmistoa. Tämä ohjelmisto mahdollisti lisäominaisuuksia, kuten korkeamman näytön resoluution, joita tutkija ei todellakaan tarvinnut. Jos käyttäjä ei käytä asiakasohjelmistoa, virtuaalikone tyypillisesti lukitsee käyttäjän johonkin kahdesta matalasta resoluutiosta: 800x600 ja 1024x768.
Nämä kaksi päätöslauselmaa ovat erittäin tärkeitä haittaohjelmien kehittäjälle. Nykyaikaisissa tietokoneissa ja kannettavissa tietokoneissa ei usein ole tämän resoluution näyttöjä. Tuo koko on hyvin vanhentunut.
Suositut laitteiden resoluutiot
Miten haittaohjelmat käyttävät näitä tietoja välttääkseen virtuaalikoneita?
Näin ollen, kun haittaohjelma ilmestyy isäntätietokoneelle ja sen havaitaan toimivan 800×600 tai 1024×768 resoluutiolla, se tarkoittaa, että haittaohjelma toimii todennäköisesti hyvin vanhentuneella tai mahdollisesti toimintakykyisellä laitteistolla. .
Jos virus toimii näissä olosuhteissa, se altistuu. Siten suojellaksesi itseäsi haittaohjelmat loppuvat itsestään eivätkä aiheuta vahinkoa.
Tutkijan näkökulmasta ohjelma oli käynnissä eikä tartuttanut tietokonetta, joten se ei ollut virus. He voivat sitten tehdä virheellisiä oletuksia ohjelmasta, jolloin haittaohjelma kulkeutuu pidemmälle ennen kuin se havaitaan.
Esimerkki haittaohjelmista, jotka testaavat todellista resoluutiota
Trickbot on loistava esimerkki tästä taktiikasta toiminnassa. Tutkijat onnistuivat äskettäin murtautumaan TrickBot-koodiriville ja analysoimaan sen toimintaa. Twitter-käyttäjä Mak (@maciekkotowicz) löysi TrickBotista koodin, joka skannaa 800×600 tai 1024×768 resoluutiota.
TrickBotin koodi skannaa 800×600 tai 1024×768 resoluutiolla
Tässä koodissa virus ottaa tietokoneen resoluution X- ja Y-arvot ja yhdistää ne sitten nähdäkseen tuloksen. Jos tulos on 800×600 tai 1024×768, koodi palauttaa arvon 0. Tämä ilmaisee virtuaalikoneessa käynnissä olevan haittaohjelman.
Kun haittaohjelma tietää olevansa virtuaalikoneessa, se tuhoutuu itsestään välttääkseen havaitsemisen. Tämän seurauksena jokainen, joka tarkistaa viruksia virtuaalikoneen, pitää sitä turvallisena.
Mitä tämä strategia merkitsee sinulle?
Tämä tarkoittaa tietysti sitä, että jos käytät 1024x768- tai 800x600-resoluutiota, olet suojattu tietyntyyppisiltä haittaohjelmilta. Heti kun he saavuttavat järjestelmän, he panevat merkille ratkaisusi ja tuhoavat itsensä ennen kuin aiheuttavat vahinkoa. Tämän suojan saamiseksi sinun on kuitenkin käytettävä tietokonetta, jonka resoluutio on erittäin pieni!
Sellaisenaan paras tapa torjua tämän uudentyyppisiä haittaohjelmia on päivittää virustorjuntaohjelmistosi . Nyt tämä anti-VM temppu on julkisesti tiedossa, joten on erittäin epätodennäköistä, että huippuluokan tietoturvayritykset huijataan uudelleen.
Tämä on kuitenkin erityisen tärkeää pitää mielessä, jos sinulla on tapana tarkistaa tiedostoja omissa virtuaalikoneissasi. Jos virtuaalikoneesi toimii 800 × 600 tai 1 024 × 768 resoluutiolla, se voi olla syytä asettaa yleisempään resoluutioon. Jos et tee niin, on mahdotonta olla varma, onko tarkistettavassa tiedostossa tämä VM:n esto asennettuna.
Windowsin palomuuri lisäsuojauksella on palomuuri, joka toimii Windows Server 2012:ssa ja on oletuksena käytössä. Windows Server 2012:n palomuuriasetuksia hallitaan Windowsin palomuurin Microsoft Management Consolessa.
Kun vaihdat Vigor Draytek -modeemin ja reitittimen sisäänkirjautumisen järjestelmänvalvojan sivun salasanan, käyttäjät rajoittavat luvatonta pääsyä modeemin salasanan vaihtamiseen ja suojaavat tärkeitä verkkotietoja.
Onneksi AMD Ryzen -suorittimia käyttävien Windows-tietokoneiden käyttäjät voivat käyttää Ryzen Masteria RAM-muistin ylikellotukseen ilman kosketusta BIOSiin.
USB-C-portista on tullut standardi tiedonsiirrolle, videolähdölle ja lataukselle nykyaikaisissa Windows-kannettavissa. Vaikka tämä on kätevää, se voi olla turhauttavaa, kun liität kannettavan tietokoneen USB-C-laturiin, mutta se ei lataudu.
Ei voi luoda palvelua -virhe Ultraviewerissa ilmenee, kun asennamme ohjelmiston, jonka virhekoodi on 1072.
Virhe, jossa tunnistetta ei näytetä Ultraviewerissa, vaikuttaa etätietokoneeseen.
Ultraviewer ohjaa tietokonetta etänä ja siinä on tila tiedostojen lähettämiseen ja vastaanottamiseen.
Normaalisti, kun tiedosto poistetaan Windowsissa, tiedostoa ei poisteta heti, vaan se tallennetaan roskakoriin. Sen jälkeen sinun on tehtävä vielä yksi vaihe: tyhjennä roskakori. Mutta jos et halua tehdä tätä toista vaihetta, näytämme sinulle, kuinka voit poistaa tiedoston pysyvästi alla olevassa artikkelissa.
Pimeä verkko on salaperäinen paikka, jolla on loistava maine. Pimeän verkon löytäminen ei ole vaikeaa. Turvallisen navigoinnin oppiminen on kuitenkin toinen asia, varsinkin jos et tiedä mitä olet tekemässä tai mitä odottaa.
Teknisesti Adrozek ei ole virus. Se on selaimen kaappaaja, joka tunnetaan myös nimellä selaimen muokkaaja. Tämä tarkoittaa, että tietokoneellesi on asennettu haittaohjelma tietämättäsi.
