В течение многих лет между разработчиками вредоносного ПО и экспертами по кибербезопасности были напряженные противостояния. Недавно сообщество разработчиков вредоносного ПО внедрило новую стратегию, позволяющую избежать обнаружения: проверьте разрешение экрана.
Давайте рассмотрим, почему разрешение экрана имеет значение для вредоносных программ и что это значит для вас.
Почему вредоносное ПО заботится о разрешении экрана?
Чтобы понять, почему вредоносное ПО заботится о разрешении экрана, рассмотрим одного из его заклятых врагов: виртуальные машины .
Виртуальные машины — полезный инструмент для исследователей вирусов. Они работают как один компьютер внутри другого, поэтому вы можете использовать другую операционную систему без необходимости приобретения нового ПК.
Например, если у вас есть компьютер с Windows 10, но вы хотите использовать Linux, вы можете настроить виртуальную машину внутри Windows 10 для запуска Linux. Он будет работать как компьютер с Linux, но работать в окне Windows 10.
Виртуальные машины очень полезны для исследователей вирусов, поскольку они действуют как цифровая ловушка для мух. Если исследователь считает, что программа или файл содержит вирус, он может проверить его, запустив на виртуальной машине.
Если файл содержит вирус, он начнет заражать виртуальную машину. Поскольку виртуальная машина настроена так, чтобы выглядеть как реальная, вирус полагает, что заразил реальный компьютер, а не виртуальную машину. Таким образом, он начинает доставлять свою полезную нагрузку и наносить ущерб виртуальной машине. К счастью, вирус не может нанести никакого вреда главному компьютеру. Это касается только виртуальных машин.
Как только вирус будет обнаружен, исследователи смогут узнать, как он работает, а затем перезагрузить виртуальную машину. Затем они взяли знания, полученные от виртуальной машины, и использовали их для создания определений вирусов для защиты пользователей на реальных компьютерах. Из-за этого виртуальные машины враждебны разработчикам вредоносного ПО.
Какую роль в этом играет разрешение экрана?
В этом методе тестирования приложений есть недостаток. Когда исследователи вредоносного ПО создают виртуальную машину, их не волнуют все дополнительные функции. Все, что им нужно для проверки на вирусы, — это виртуальная машина, действующая как обычный компьютер, все остальное не является обязательным.
В результате исследователи иногда не устанавливают гостевое программное обеспечение виртуальной машины. Это программное обеспечение позволяло использовать дополнительные функции, такие как более высокое разрешение экрана, которые на самом деле не нужны исследователю. Если пользователь не использует клиентское программное обеспечение, виртуальная машина обычно ограничивает пользователя одним из двух низких разрешений: 800x600 и 1024x768.
Эти два решения очень важны для разработчика вредоносного ПО. Современные компьютеры и ноутбуки не часто оснащены экранами такого разрешения. Этот размер очень устарел.
Популярные разрешения устройств
Как вредоносное ПО использует эти данные, чтобы избежать виртуальных машин?
Таким образом, когда вредоносное ПО появляется на главном компьютере и замечено, что оно работает с разрешением 800×600 или 1024×768, это означает, что вредоносное ПО, вероятно, работает на очень устаревшем или потенциально способном оборудовании. .
Если вирус действует в таких условиях, он будет раскрыт. Таким образом, чтобы защитить себя, вредоносное ПО завершится само по себе и не причинит никакого вреда.
С точки зрения исследователя, программа работала и не заражала компьютер, поэтому это не был вирус. Затем они могут сделать ложные предположения о программе, позволяя вредоносному ПО распространиться дальше, прежде чем его обнаружат.
Пример тестирования вредоносного ПО в реальном мире
Trickbot — отличный пример этой тактики в действии. Недавно исследователям удалось взломать строку кода TrickBot и проанализировать, как она работает. Пользователь Twitter по имени Мак (@maciekkotowicz) нашел в TrickBot код, который сканирует с разрешением 800×600 или 1024×768.
Код в TrickBot сканирует с разрешением 800×600 или 1024×768.
В этом коде вирус берет значения X и Y разрешения компьютера, затем объединяет их, чтобы увидеть результат. Если результат — 800×600 или 1024×768, код вернет 0. Это указывает на вредоносное ПО, запущенное на виртуальной машине.
Как только вредоносная программа узнает, что находится на виртуальной машине, она самоуничтожается, чтобы избежать обнаружения. В результате любой, кто проверяет виртуальную машину на наличие вирусов, будет считать ее безопасной.
Что для вас значит эта стратегия?
Конечно, это означает, что если вы используете разрешение 1024x768 или 800x600, вы будете защищены от некоторых типов вредоносных программ. Как только они достигнут системы, они заметят ваше решение и самоуничтожятся, прежде чем нанести какой-либо ущерб. Однако, чтобы получить эту защиту, вам придется использовать компьютер с очень маленьким разрешением!
Таким образом, лучший способ борьбы с этим новым типом вредоносного ПО — обновить антивирусное программное обеспечение . Теперь этот трюк против виртуальных машин стал общеизвестным, поэтому маловероятно, что высококлассные компании, занимающиеся безопасностью, снова будут обмануты.
Однако об этом особенно важно помнить, если вы склонны проверять файлы на своих собственных виртуальных машинах. Если ваша виртуальная машина работает с разрешением 800×600 или 1024×768, возможно, стоит установить для нее более распространенное разрешение. Если вы этого не сделаете, невозможно быть уверенным, что в проверяемом файле установлена эта мера защиты от виртуальной машины.
Вы видите уведомление об активации Windows 10 в правом углу экрана? В этой статье вы узнаете, как удалить уведомление о запросе на авторские права в Windows 10.
Недавно Microsoft выпустила последнее накопительное обновление для пользователей ПК с Windows 10 под названием Build 14393.222. Это обновление, выпущенное для Windows 10, в основном исправляет ошибки на основе отзывов пользователей и повышает производительность операционной системы.
Есть ли в вашей локальной сети компьютеры, которым требуется внешний доступ? Использование хоста-бастиона в качестве привратника для вашей сети может быть хорошим решением.
Если вы предпочитаете использовать старую классическую клавиатуру, например IBM Model M, на которой нет физической клавиши Windows, есть простой способ добавить ее, позаимствовав клавишу, которую вы не часто используете.
Иногда вам может потребоваться удалить все старые журналы событий сразу. В этом руководстве Quantrimang.com покажет вам 3 способа быстрого удаления всех журналов событий в средстве просмотра событий Windows 10.
Во многих предыдущих статьях мы упоминали, что сохранять анонимность в Интернете чрезвычайно важно. Частная информация утекает каждый год, что делает безопасность в Интернете все более необходимой. По этой же причине нам следует использовать виртуальные IP-адреса. Ниже мы узнаем о методах создания поддельных IP-адресов!
WindowTop — это инструмент, который позволяет затемнять все окна приложений и программ, запущенных на компьютерах с Windows 10. Или вы можете использовать интерфейс с темным фоном в Windows.
Языковая панель в Windows 8 — это миниатюрная языковая панель инструментов, предназначенная для автоматического отображения на экране рабочего стола. Однако многие люди хотят скрыть эту языковую панель на панели задач.
Беспроводное подключение сегодня является необходимостью, и поэтому безопасность беспроводной сети необходима для обеспечения безопасности вашей внутренней сети.
Увеличение скорости Интернета имеет важное значение для оптимизации сетевого подключения. Вы можете получить оптимальные впечатления от развлечений и работы, используя компьютеры, телевизоры с возможностью подключения к Интернету, игровые приставки и т. д.
