I flera år har utvecklare av skadlig programvara och cybersäkerhetsexperter haft spända konfrontationer. Nyligen har utvecklingsgemenskapen för skadlig programvara implementerat en ny strategi för att undvika upptäckt: Kontrollera skärmupplösningen.
Låt oss utforska varför skärmupplösningen är viktig för skadlig programvara och vad det betyder för dig.
Varför bryr sig skadlig programvara om skärmupplösning?
För att förstå varför skadlig programvara bryr sig om skärmupplösning, överväg en av skadlig programvaras nemesis: virtuella maskiner .
Virtuella maskiner är ett användbart verktyg för virusforskare. De fungerar som en dator inuti en annan, så du kan använda ett annat operativsystem utan att behöva en ny dator.
Till exempel, om du har en Windows 10-dator men vill använda Linux, kan du ställa in en virtuell maskin inuti Windows 10 för att köra Linux. Den kommer att fungera som en Linux-dator men körs i ett fönster på Windows 10.
Virtuella maskiner är mycket användbara för virusforskare, eftersom de fungerar som en digital flugfälla. Om en forskare tror att ett program eller en fil innehåller ett virus kan de testa det genom att köra det i en virtuell maskin.
Om filen innehåller ett virus kommer den att börja infektera den virtuella maskinen. Eftersom en virtuell maskin är inställd för att se ut som en riktig maskin, tror viruset att den har infekterat en riktig dator, inte en virtuell maskin. Som sådan börjar den leverera sin nyttolast och orsaka skada på den virtuella maskinen. Lyckligtvis finns det ingen skada som viruset kan göra på huvuddatorn. Det påverkar bara virtuella maskiner.
När viruset har avslöjats kan forskare lära sig hur det fungerar och sedan återställa den virtuella maskinen. Därefter tog de det de lärt sig från den virtuella maskinen och använde dem för att skapa virusdefinitioner för att skydda användare på riktiga datorer. På grund av detta är virtuella maskiner fientliga mot utvecklare av skadlig programvara.
Vilken roll spelar skärmupplösningen i detta?
Det finns ett fel med denna applikationstestmetod. När forskare om skadlig programvara skapar en virtuell maskin bryr de sig inte om alla extrafunktioner. Allt de behöver för att testa för virus är en virtuell maskin som fungerar som en vanlig dator, allt annat är bara valfritt.
Som ett resultat av detta installerar forskare ibland inte VM:s gästprogramvara. Denna programvara möjliggjorde ytterligare funktioner som högre skärmupplösning, vilket forskaren egentligen inte behövde. Om användaren inte använder klientprogramvara, låser den virtuella datorn vanligtvis användaren till en av två låga upplösningar: 800x600 och 1024x768.
Dessa två upplösningar är mycket viktiga för en skadlig programvara utvecklare. Moderna datorer och bärbara datorer kommer inte ofta med skärmar med den upplösningen. Den storleken är väldigt föråldrad.
Populära enhetsupplösningar
Hur använder skadlig programvara denna data för att undvika virtuella datorer?
Således, när skadlig programvara dyker upp på en värddator och det märks att den körs med en upplösning på 800×600 eller 1024×768, betyder det att skadlig programvara förmodligen körs på mycket föråldrad eller potentiellt kapabel hårdvara. .
Om viruset fungerar under dessa förhållanden kommer det att exponeras. För att skydda dig själv kommer skadlig programvara att upphöra av sig själv och inte orsaka skada.
Ur forskarens perspektiv körde programmet och infekterade inte datorn, så det var inget virus. De kan då göra falska antaganden om programmet, vilket gör att skadlig programvara kan resa längre innan den upptäcks.
Exempel på skadlig programvara som testar verklig upplösning
Trickbot är ett bra exempel på denna taktik i aktion. Forskare lyckades nyligen bryta sig in i en rad TrickBot-kod och analysera hur det fungerar. En Twitter-användare vid namn Mak (@maciekkotowicz) hittade en kod i TrickBot som skannar 800×600 eller 1024×768 upplösning.
Koden i TrickBot skannar med 800×600 eller 1024×768 upplösning
I den här koden tar viruset X- och Y-värdena för datorns upplösning och kombinerar dem sedan för att se resultatet. Om resultatet är 800×600 eller 1024×768 kommer koden att returnera 0. Detta indikerar skadlig programvara som körs i en virtuell maskin.
När skadlig programvara vet att den finns i en virtuell maskin, förstör den själv för att undvika upptäckt. Som ett resultat kommer alla som söker efter virus i en virtuell maskin att betrakta det som säkert.
Vad betyder den här strategin för dig?
Naturligtvis betyder detta att om du använder 1024x768 eller 800x600 upplösning kommer du att vara skyddad från vissa typer av skadlig programvara. Så snart de når systemet kommer de att notera din upplösning och självförstöra innan de orsakar någon skada. Men för att få detta skydd måste du använda en dator med mycket liten upplösning!
Som sådan är det bästa sättet att bekämpa denna nya typ av skadlig programvara att uppdatera ditt antivirusprogram . Nu är detta anti-VM-trick allmänt känt, så det är högst osannolikt att avancerade säkerhetsföretag kommer att luras igen.
Detta är dock särskilt viktigt att ha i åtanke om du tenderar att kontrollera filer på dina egna virtuella maskiner. Om din virtuella maskin körs på 800×600 eller 1024×768 kan det vara värt att ställa in den till den vanligare upplösningen. Om du inte gör det är det omöjligt att vara säker på om filen du kontrollerar har denna anti-VM-försiktighet installerad.
Windows-brandvägg med avancerad säkerhet är en brandvägg som körs på Windows Server 2012 och som är aktiverad som standard. Brandväggsinställningar i Windows Server 2012 hanteras i Windows-brandväggens Microsoft Management Console.
När användarna ändrar lösenordet för Vigor Draytek Modem och Routers inloggningsadminsida, begränsar användarna obehörig åtkomst för att ändra modemets lösenord, vilket säkrar viktig nätverksinformation.
Lyckligtvis kan användare av Windows-datorer som kör AMD Ryzen-processorer använda Ryzen Master för att enkelt överklocka RAM utan att röra BIOS.
USB-C-porten har blivit standarden för dataöverföring, videoutgång och laddning på moderna bärbara Windows-datorer. Även om detta är bekvämt, kan det vara frustrerande när du ansluter din bärbara dator till en USB-C-laddare och den inte laddas.
Felet Kan inte skapa tjänst på Ultraviewer uppstår när vi installerar programvaran med felkod 1072.
Felet att inte visa ID på Ultraviewer kommer att påverka fjärrdatoranslutningen.
Ultraviewer fjärrstyr datorn och har ett läge för att skicka och ta emot filer.
Normalt, när du tar bort en fil på Windows, kommer filen inte att raderas omedelbart utan sparas i papperskorgen. Efter det måste du göra ytterligare ett steg: töm papperskorgen. Men om du inte vill behöva göra det här andra steget kommer vi att visa dig hur du tar bort en fil permanent i artikeln nedan.
Det mörka nätet är en mystisk plats med ett berömt rykte. Att hitta det mörka nätet är inte svårt. Men att lära sig att navigera på ett säkert sätt är en annan sak, särskilt om du inte vet vad du gör eller vad du kan förvänta dig.
Tekniskt sett är Adrozek inte ett virus. Det är en webbläsarkapare, även känd som webbläsarmodifierare. Det betyder att skadlig programvara installerades på din dator utan din vetskap.
