Як зловмисне програмне забезпечення використовує роздільну здатність екрана, щоб уникнути виявлення

Протягом багатьох років розробники зловмисного програмного забезпечення та експерти з кібербезпеки мали напружені протистояння. Нещодавно спільнота розробників шкідливих програм запровадила нову стратегію, щоб уникнути виявлення: перевірте роздільну здатність екрана.

Давайте дослідимо, чому роздільна здатність екрана має значення для зловмисного програмного забезпечення та що це означає для вас.

Чому зловмисне програмне забезпечення піклується про роздільну здатність екрана?

Щоб зрозуміти, чому зловмисне програмне забезпечення піклується про роздільну здатність екрана, розглянемо одну з немезид зловмисного програмного забезпечення: віртуальні машини .

Віртуальні машини є корисним інструментом для дослідників вірусів. Вони працюють як один комп’ютер в іншому, тому ви можете використовувати іншу операційну систему, не потребуючи нового ПК.

Наприклад, якщо у вас є комп’ютер з Windows 10, але ви хочете використовувати Linux, ви можете налаштувати віртуальну машину всередині Windows 10 для запуску Linux. Він функціонуватиме як комп’ютер Linux, але працюватиме у вікні Windows 10.

• 7 способів допомогти запустити програмне забезпечення Linux у Windows

Віртуальні машини дуже корисні для дослідників вірусів, оскільки вони діють як цифрова мухоловка. Якщо дослідник вважає, що програма або файл містить вірус, він може перевірити його, запустивши на віртуальній машині.

Якщо файл містить вірус, він почне заражати віртуальну машину. Оскільки віртуальна машина налаштована так, щоб виглядати як справжня машина, вірус вважає, що заразив справжній ПК, а не віртуальну машину. Таким чином, він починає доставляти своє корисне навантаження та завдає шкоди віртуальній машині. На щастя, вірус не може завдати шкоди головному комп’ютеру. Це стосується лише віртуальних машин.

Після виявлення вірусу дослідники можуть дізнатися, як він працює, а потім перезавантажити віртуальну машину. Далі вони взяли те, що дізналися з віртуальної машини, і використали їх для створення визначень вірусів для захисту користувачів на реальних комп’ютерах. Через це віртуальні машини вороже ставляться до розробників шкідливих програм.

Яку роль у цьому відіграє роздільна здатність екрана?

У цьому методі тестування програми є недолік. Коли дослідники зловмисного програмного забезпечення створюють віртуальну машину, вони насправді не дбають про всі додаткові функції. Усе, що їм потрібно для перевірки на віруси, — це віртуальна машина, яка діє як звичайний комп’ютер, усе інше необов’язково.

У результаті дослідники іноді не встановлюють гостьове програмне забезпечення віртуальної машини. Це програмне забезпечення увімкнуло додаткові функції, такі як більш висока роздільна здатність екрана, які досліднику насправді не були потрібні. Якщо користувач не використовує клієнтське програмне забезпечення, віртуальна машина зазвичай блокує для користувача одну з двох низьких роздільних здатностей: 800x600 і 1024x768.

Ці два рішення дуже важливі для розробника шкідливих програм. Сучасні комп’ютери та ноутбуки не часто мають екрани з такою роздільною здатністю. Цей розмір дуже застарів.

Популярні дозволи пристрою

Як зловмисне програмне забезпечення використовує ці дані, щоб уникнути віртуальних машин?

Таким чином, коли зловмисне програмне забезпечення з’являється на головному комп’ютері та помічається, що воно працює з роздільною здатністю 800 × 600 або 1024 × 768, це означає, що зловмисне програмне забезпечення, ймовірно, працює на дуже застарілому або потенційно здатному апаратному забезпеченні. .

Якщо вірус функціонує в цих умовах, він буде виявлений. Таким чином, щоб захистити себе, зловмисне програмне забезпечення припинить роботу самостійно та не завдасть шкоди.

З точки зору дослідника, програма працювала і не заражала ПК, отже, це не був вірус. Тоді вони можуть зробити помилкові припущення щодо програми, дозволяючи зловмисному програмному забезпеченню подорожувати далі, перш ніж його виявлять.

Приклад тестування зловмисного програмного забезпечення в реальному світі

Trickbot є чудовим прикладом цієї тактики в дії. Нещодавно дослідникам вдалося зламати рядок коду TrickBot і проаналізувати, як він працює. Користувач Twitter на ім’я Мак (@maciekkotowicz) знайшов у TrickBot код, який сканує роздільну здатність 800×600 або 1024×768.

Код у TrickBot сканується з роздільною здатністю 800×600 або 1024×768

У цьому коді вірус бере значення X і Y роздільної здатності комп’ютера, а потім об’єднує їх, щоб побачити результат. Якщо результат 800 × 600 або 1024 × 768, код поверне 0. Це означає, що на віртуальній машині запущено зловмисне програмне забезпечення.

Коли зловмисне програмне забезпечення дізнається, що воно знаходиться у віртуальній машині, воно самознищується, щоб уникнути виявлення. У результаті кожен, хто перевіряє віртуальну машину на віруси, вважатиме її безпечною.

Що для вас означає ця стратегія?

Звичайно, це означає, що якщо ви використовуєте роздільну здатність 1024x768 або 800x600, ви будете захищені від деяких типів шкідливих програм. Щойно вони досягнуть системи, вони помітять вашу роздільну здатність і самознищаться, перш ніж завдати будь-якої шкоди. Однак, щоб отримати цей захист, вам доведеться використовувати комп'ютер з дуже маленькою роздільною здатністю!

Таким чином, найкращий спосіб боротьби з цим новим типом зловмисного програмного забезпечення – оновити антивірусне програмне забезпечення . Тепер цей трюк проти віртуальної машини загальновідомий, тому малоймовірно, що висококласні компанії безпеки знову обдурять.

Проте це особливо важливо мати на увазі, якщо ви схильні перевіряти файли на власних віртуальних машинах. Якщо ваша віртуальна машина працює з роздільною здатністю 800 × 600 або 1024 × 768, можливо, варто встановити для неї більш поширену роздільну здатність. Якщо ви цього не зробите, неможливо бути впевненим, чи файл, який ви перевіряєте, має цей запобіжний захід проти віртуальної машини.