Vývojári malvéru a odborníci na kybernetickú bezpečnosť už roky vedú napäté konfrontácie. Nedávno komunita zaoberajúca sa vývojom malvéru implementovala novú stratégiu, ako sa vyhnúť odhaleniu: Skontrolujte rozlíšenie obrazovky.
Poďme preskúmať, prečo je rozlíšenie obrazovky pre malvér dôležité a čo to pre vás znamená.
Prečo sa malvér zaujíma o rozlíšenie obrazovky?
Ak chcete pochopiť, prečo sa malvér zaujíma o rozlíšenie obrazovky, zamyslite sa nad jedným z nepriateľov malvéru: Virtuálne stroje .
Virtuálne stroje sú užitočným nástrojom pre výskumníkov vírusov. Fungujú ako jeden počítač v druhom, takže môžete používať iný operačný systém bez toho, aby ste potrebovali nový počítač.
Napríklad, ak máte počítač so systémom Windows 10, ale chcete používať Linux, môžete v systéme Windows 10 nastaviť virtuálny počítač na spustenie systému Linux. Bude fungovať ako počítač so systémom Linux, ale spustí sa v okne v systéme Windows 10.
Virtuálne stroje sú veľmi užitočné pre výskumníkov vírusov, pretože fungujú ako digitálna pasca na muchy. Ak sa výskumník domnieva, že program alebo súbor obsahuje vírus, môže ho otestovať spustením vo virtuálnom počítači.
Ak súbor obsahuje vírus, začne infikovať virtuálny počítač. Keďže je virtuálny stroj nastavený tak, aby vyzeral ako skutočný stroj, vírus sa domnieva, že infikoval skutočný počítač, nie virtuálny stroj. Ako taký začne doručovať svoje užitočné zaťaženie a spôsobiť poškodenie virtuálneho počítača. Našťastie neexistuje žiadna škoda, ktorú môže vírus spôsobiť na hlavnom počítači. Ovplyvňuje iba virtuálne počítače.
Po odhalení vírusu sa výskumníci môžu naučiť, ako funguje, a potom resetovať virtuálny stroj. Potom vzali to, čo sa naučili z virtuálneho stroja, a použili to na vytvorenie definícií vírusov na ochranu používateľov na skutočných počítačoch. Z tohto dôvodu sú virtuálne stroje nepriateľské voči vývojárom škodlivého softvéru.
Akú úlohu v tom zohráva rozlíšenie obrazovky?
Táto metóda testovania aplikácií má chybu. Keď výskumníci škodlivého softvéru vytvoria virtuálny stroj, v skutočnosti sa nestarajú o všetky ďalšie funkcie. Na testovanie vírusov im stačí virtuálny stroj, ktorý funguje ako bežný počítač, všetko ostatné je len voliteľné.
Výsledkom je, že výskumníci niekedy nenainštalujú hosťujúci softvér virtuálneho počítača. Tento softvér umožnil ďalšie funkcie, ako napríklad vyššie rozlíšenie obrazovky, ktoré výskumník v skutočnosti nepotreboval. Ak používateľ nepoužíva klientsky softvér, VM zvyčajne uzamkne používateľa v jednom z dvoch nízkych rozlíšení: 800 x 600 a 1 024 x 768.
Tieto dve rozlíšenia sú pre vývojárov škodlivého softvéru veľmi dôležité. Moderné počítače a notebooky sa často nedodávajú s obrazovkami s týmto rozlíšením. Tá veľkosť je veľmi zastaraná.
Populárne rozlíšenia zariadení
Ako malvér využíva tieto údaje na vyhýbanie sa virtuálnym počítačom?
Keď sa teda malvér objaví na hostiteľskom počítači a zistí sa, že beží v rozlíšení 800×600 alebo 1024×768, znamená to, že malvér pravdepodobne beží na veľmi zastaranom alebo potenciálne schopnom hardvéri. monitorované možnosti virtuálneho počítača .
Ak vírus funguje za týchto podmienok, bude odhalený. Aby ste sa ochránili, malvér sa ukončí sám a nespôsobí žiadne škody.
Z pohľadu výskumníka program bežal a neinfikoval PC, takže to nebol vírus. Potom môžu urobiť nesprávne predpoklady o programe, čo umožní malvéru cestovať ďalej, kým bude odhalený.
Príklad testovania malvéru v reálnom svete
Trickbot je skvelým príkladom tejto taktiky v akcii. Výskumníkom sa nedávno podarilo preniknúť do radu kódu TrickBot a analyzovať, ako to funguje. Používateľ Twitteru Mak (@maciekkotowicz) našiel v TrickBot kód, ktorý skenuje rozlíšenie 800×600 alebo 1024×768.
Kód v TrickBot skenuje v rozlíšení 800×600 alebo 1024×768
V tomto kóde vírus vezme hodnoty X a Y rozlíšenia počítača a potom ich skombinuje, aby videl výsledok. Ak je výsledok 800 × 600 alebo 1 024 × 768, kód vráti 0. To znamená, že vo virtuálnom počítači beží malvér.
Keď malvér zistí, že je vo virtuálnom stroji, sám sa zničí, aby sa vyhol detekcii. Výsledkom je, že každý, kto kontroluje vírusy vo virtuálnom stroji, ho bude považovať za bezpečný.
Čo pre vás znamená táto stratégia?
To samozrejme znamená, že ak použijete rozlíšenie 1024x768 alebo 800x600, budete chránení pred niektorými typmi malvéru. Hneď ako sa dostanú do systému, zaznamenajú vaše rozlíšenie a pred spôsobením akejkoľvek škody sa zničia. Na získanie tejto ochrany však budete musieť použiť počítač s veľmi malým rozlíšením!
Najlepším spôsobom, ako bojovať proti tomuto novému typu malvéru, je aktualizovať antivírusový softvér . Teraz je tento trik proti virtuálnym počítačom verejne známy, takže je veľmi nepravdepodobné, že spoločnosti zaoberajúce sa špičkovou bezpečnosťou budú opäť oklamané.
Toto je obzvlášť dôležité mať na pamäti, ak máte tendenciu kontrolovať súbory na svojich vlastných virtuálnych počítačoch. Ak váš virtuálny počítač beží s rozlíšením 800 × 600 alebo 1 024 × 768, možno stojí za to nastaviť ho na bežnejšie rozlíšenie. Ak tak neurobíte, nie je možné si byť istý, či súbor, ktorý kontrolujete, má nainštalované toto opatrenie proti VM.
Statická adresa IP je pevná adresa IP nakonfigurovaná v nastaveniach počítača alebo smerovača. Niektorí poskytovatelia internetových služieb (ISP) vyžadujú, aby ste na svojom počítači zadali statickú IP adresu alebo nastavenia TCP/IP smerovača, aby sa mohli pripojiť na internet.
Podľa spôsobu infekcie patrí PublicBoardSearch do kategórie únoscov prehliadača. Ide o typ malvéru, ktorý je navrhnutý tak, aby prevzal nastavenia známeho prehliadača.
Zbierka tapiet s vysokým rozlíšením pre používateľov počítačov a notebookov s plným rozlíšením od Full HD po 4K.
Unixový systém, tiež známy ako „loopback“, môže posielať a prijímať sieťovú komunikáciu cez virtuálne sieťové zariadenie. Počítač môže posielať správy sám sebe, čo umožňuje komunikáciu bez aktívnej siete.
Pravdepodobne ste už počuli príslovie, že dostanete to, za čo zaplatíte, ale čo keď príde na antivírusový softvér? Mali by ste si radšej kúpiť softvérové balíky, než sa rozhodnúť pre bezplatné riešenia ochrany? Možno to tak nie je a tu je dôvod!
V dnešnom článku Quantrimang zhrnie populárne značky antivírusového softvéru na trhu a zistí, ako sa líšia medzi Windows PC a macOS.
Nie je jasné, čo prinesie Sun Valley okrem zmien a vylepšení používateľského rozhrania najvyššej úrovne. Tu je teda to, čo používatelia dúfajú, že uvidia od veľkej aktualizácie systému Windows 10 Sun Valley, ktorá bude uvedená na trh budúci rok.
Systém Windows poskytuje možnosť Spustiť ako správca, ktorá používateľom umožňuje spúšťať aplikácie a programy s oprávneniami správcu. Môžete ho použiť aj na riešenie problémov s počítačom. Čo ak však táto funkcia zlyhá a odoberie vám práva správcu?
Chyby súvisiace s jednotkou vášho počítača môžu zabrániť správnemu spusteniu systému a obmedziť prístup k vašim súborom a aplikáciám.
Niektoré varianty malvéru môžu používať rôzne moduly na zmenu spôsobu, akým ovplyvňujú cieľový systém. Čo je teda modulárny malvér a ako funguje?
