Hvordan skadelig programvare utnytter skjermoppløsningen for å unngå oppdagelse

I årevis har utviklere av skadevare og cybersikkerhetseksperter hatt anspente konfrontasjoner. Nylig har utviklingsfellesskapet for skadevare implementert en ny strategi for å unngå oppdagelse: Sjekk skjermoppløsningen.

La oss utforske hvorfor skjermoppløsning er viktig for skadelig programvare og hva det betyr for deg.

Hvorfor bryr skadelig programvare seg om skjermoppløsning?

For å forstå hvorfor skadelig programvare bryr seg om skjermoppløsning, bør du vurdere en av skadevarenes nemesis: virtuelle maskiner .

Virtuelle maskiner er et nyttig verktøy for virusforskere. De fungerer som én datamaskin inne i en annen, slik at du kan bruke et annet operativsystem uten å trenge en ny PC.

For eksempel, hvis du har en Windows 10-datamaskin, men ønsker å bruke Linux, kan du sette opp en virtuell maskin inne i Windows 10 for å kjøre Linux. Den vil fungere som en Linux-datamaskin, men kjøres i et vindu på Windows 10.

• 7 måter å hjelpe deg med å kjøre Linux-programvare på Windows

Virtuelle maskiner er veldig nyttige for virusforskere, fordi de fungerer som en digital fluefelle. Hvis en forsker tror at et program eller en fil inneholder et virus, kan de teste det ved å kjøre det i en virtuell maskin.

Hvis filen inneholder et virus, vil den begynne å infisere den virtuelle maskinen. Fordi en virtuell maskin er satt opp til å se ut som en ekte maskin, tror viruset at den har infisert en ekte PC, ikke en virtuell maskin. Som sådan begynner den å levere nyttelasten og forårsake skade på den virtuelle maskinen. Heldigvis er det ingen skade viruset kan gjøre på hoveddatamaskinen. Det påvirker bare virtuelle maskiner.

Når viruset er avslørt, kan forskere lære hvordan det fungerer, og deretter tilbakestille den virtuelle maskinen. Deretter tok de det de lærte fra den virtuelle maskinen og brukte dem til å lage virusdefinisjoner for å beskytte brukere på ekte datamaskiner. På grunn av dette er virtuelle maskiner fiendtlige til skadevareutviklere.

Hvilken rolle spiller skjermoppløsningen i dette?

Det er en feil med denne applikasjonstestmetoden. Når skadevareforskere lager en virtuell maskin, bryr de seg egentlig ikke om alle ekstrafunksjonene. Alt de trenger for å teste for virus er en virtuell maskin som fungerer som en vanlig datamaskin, alt annet er bare valgfritt.

Som et resultat installerer forskere noen ganger ikke VMs gjesteprogramvare. Denne programvaren muliggjorde tilleggsfunksjoner som høyere skjermoppløsning, som forskeren egentlig ikke trengte. Hvis brukeren ikke bruker klientprogramvare, låser VM-en vanligvis brukeren til en av to lave oppløsninger: 800x600 og 1024x768.

Disse to oppløsningene er svært viktige for en skadevareutvikler. Moderne datamaskiner og bærbare datamaskiner kommer ikke ofte med skjermer med den oppløsningen. Den størrelsen er veldig utdatert.

Populære enhetsoppløsninger

Hvordan bruker skadelig programvare disse dataene for å unngå virtuelle datamaskiner?

Når skadelig programvare vises på en vertsdatamaskin og det blir lagt merke til at den kjører med en oppløsning på 800×600 eller 1024×768, betyr det at skadelig programvare sannsynligvis kjører på svært utdatert eller potensielt kapabel maskinvare. .

Hvis viruset opererer under disse forholdene, vil det bli eksponert. For å beskytte deg selv, vil skadelig programvare avsluttes av seg selv og ikke forårsake skade.

Fra forskerens perspektiv kjørte programmet og infiserte ikke PC-en, så det var ikke et virus. De kan da gjøre falske antagelser om programmet, slik at skadelig programvare kan reise videre før den oppdages.

Eksempel på skadelig programvare som tester oppløsning i den virkelige verden

Trickbot er et godt eksempel på denne taktikken i aksjon. Forskere klarte nylig å bryte seg inn i en linje med TrickBot-kode og analysere hvordan det fungerer. En Twitter-bruker ved navn Mak (@maciekkotowicz) fant en kode i TrickBot som skanner 800×600 eller 1024×768 oppløsning.

Kode i TrickBot skanner med 800×600 eller 1024×768 oppløsning

I denne koden tar viruset X- og Y-verdiene til datamaskinens oppløsning, og kombinerer dem deretter for å se resultatet. Hvis resultatet er 800×600 eller 1024×768, vil koden returnere 0. Dette indikerer skadelig programvare som kjører i en virtuell maskin.

Når skadelig programvare vet at den er i en virtuell maskin, ødelegger den seg selv for å unngå oppdagelse. Som et resultat vil alle som ser etter virus i en virtuell maskin vurdere det som trygt.

Hva betyr denne strategien for deg?

Selvfølgelig betyr dette at hvis du bruker 1024x768 eller 800x600 oppløsning, vil du være beskyttet mot noen typer skadelig programvare. Så snart de når systemet, vil de merke oppløsningen din og selvdestruere før de forårsaker skade. For å få denne beskyttelsen må du imidlertid bruke en datamaskin med veldig liten oppløsning!

Som sådan er den beste måten å bekjempe denne nye typen skadelig programvare å oppdatere antivirusprogramvaren . Nå er dette anti-VM-trikset offentlig kjent, så det er svært usannsynlig at high-end sikkerhetsselskaper vil bli lurt igjen.

Dette er imidlertid spesielt viktig å huske på hvis du har en tendens til å sjekke filer på dine egne virtuelle maskiner. Hvis den virtuelle maskinen din kjører på 800×600 eller 1024×768, kan det være verdt å sette den til den mer vanlige oppløsningen. Hvis du ikke gjør det, er det umulig å være sikker på om filen du sjekker har denne anti-VM-forholdsregelen installert.