В течение многих лет между разработчиками вредоносного ПО и экспертами по кибербезопасности были напряженные противостояния. Недавно сообщество разработчиков вредоносного ПО внедрило новую стратегию, позволяющую избежать обнаружения: проверьте разрешение экрана.
Давайте рассмотрим, почему разрешение экрана имеет значение для вредоносных программ и что это значит для вас.
Почему вредоносное ПО заботится о разрешении экрана?
Чтобы понять, почему вредоносное ПО заботится о разрешении экрана, рассмотрим одного из его заклятых врагов: виртуальные машины .
Виртуальные машины — полезный инструмент для исследователей вирусов. Они работают как один компьютер внутри другого, поэтому вы можете использовать другую операционную систему без необходимости приобретения нового ПК.
Например, если у вас есть компьютер с Windows 10, но вы хотите использовать Linux, вы можете настроить виртуальную машину внутри Windows 10 для запуска Linux. Он будет работать как компьютер с Linux, но работать в окне Windows 10.
Виртуальные машины очень полезны для исследователей вирусов, поскольку они действуют как цифровая ловушка для мух. Если исследователь считает, что программа или файл содержит вирус, он может проверить его, запустив на виртуальной машине.
Если файл содержит вирус, он начнет заражать виртуальную машину. Поскольку виртуальная машина настроена так, чтобы выглядеть как реальная, вирус полагает, что заразил реальный компьютер, а не виртуальную машину. Таким образом, он начинает доставлять свою полезную нагрузку и наносить ущерб виртуальной машине. К счастью, вирус не может нанести никакого вреда главному компьютеру. Это касается только виртуальных машин.
Как только вирус будет обнаружен, исследователи смогут узнать, как он работает, а затем перезагрузить виртуальную машину. Затем они взяли знания, полученные от виртуальной машины, и использовали их для создания определений вирусов для защиты пользователей на реальных компьютерах. Из-за этого виртуальные машины враждебны разработчикам вредоносного ПО.
Какую роль в этом играет разрешение экрана?
В этом методе тестирования приложений есть недостаток. Когда исследователи вредоносного ПО создают виртуальную машину, их не волнуют все дополнительные функции. Все, что им нужно для проверки на вирусы, — это виртуальная машина, действующая как обычный компьютер, все остальное не является обязательным.
В результате исследователи иногда не устанавливают гостевое программное обеспечение виртуальной машины. Это программное обеспечение позволяло использовать дополнительные функции, такие как более высокое разрешение экрана, которые на самом деле не нужны исследователю. Если пользователь не использует клиентское программное обеспечение, виртуальная машина обычно ограничивает пользователя одним из двух низких разрешений: 800x600 и 1024x768.
Эти два решения очень важны для разработчика вредоносного ПО. Современные компьютеры и ноутбуки не часто оснащены экранами такого разрешения. Этот размер очень устарел.
Популярные разрешения устройств
Как вредоносное ПО использует эти данные, чтобы избежать виртуальных машин?
Таким образом, когда вредоносное ПО появляется на главном компьютере и замечено, что оно работает с разрешением 800×600 или 1024×768, это означает, что вредоносное ПО, вероятно, работает на очень устаревшем или потенциально способном оборудовании. .
Если вирус действует в таких условиях, он будет раскрыт. Таким образом, чтобы защитить себя, вредоносное ПО завершится само по себе и не причинит никакого вреда.
С точки зрения исследователя, программа работала и не заражала компьютер, поэтому это не был вирус. Затем они могут сделать ложные предположения о программе, позволяя вредоносному ПО распространиться дальше, прежде чем его обнаружат.
Пример тестирования вредоносного ПО в реальном мире
Trickbot — отличный пример этой тактики в действии. Недавно исследователям удалось взломать строку кода TrickBot и проанализировать, как она работает. Пользователь Twitter по имени Мак (@maciekkotowicz) нашел в TrickBot код, который сканирует с разрешением 800×600 или 1024×768.
Код в TrickBot сканирует с разрешением 800×600 или 1024×768.
В этом коде вирус берет значения X и Y разрешения компьютера, затем объединяет их, чтобы увидеть результат. Если результат — 800×600 или 1024×768, код вернет 0. Это указывает на вредоносное ПО, запущенное на виртуальной машине.
Как только вредоносная программа узнает, что находится на виртуальной машине, она самоуничтожается, чтобы избежать обнаружения. В результате любой, кто проверяет виртуальную машину на наличие вирусов, будет считать ее безопасной.
Что для вас значит эта стратегия?
Конечно, это означает, что если вы используете разрешение 1024x768 или 800x600, вы будете защищены от некоторых типов вредоносных программ. Как только они достигнут системы, они заметят ваше решение и самоуничтожятся, прежде чем нанести какой-либо ущерб. Однако, чтобы получить эту защиту, вам придется использовать компьютер с очень маленьким разрешением!
Таким образом, лучший способ борьбы с этим новым типом вредоносного ПО — обновить антивирусное программное обеспечение . Теперь этот трюк против виртуальных машин стал общеизвестным, поэтому маловероятно, что высококлассные компании, занимающиеся безопасностью, снова будут обмануты.
Однако об этом особенно важно помнить, если вы склонны проверять файлы на своих собственных виртуальных машинах. Если ваша виртуальная машина работает с разрешением 800×600 или 1024×768, возможно, стоит установить для нее более распространенное разрешение. Если вы этого не сделаете, невозможно быть уверенным, что в проверяемом файле установлена эта мера защиты от виртуальной машины.
Недавно в процессорных чипах Intel была обнаружена новая уязвимость под названием ZombieLoad, вызвавшая беспокойство пользователей. Если вы ищете способы защитить свои устройства, вы попали по адресу.
Windows 10 делает копирование и вставку более удобными благодаря функции «История буфера обмена». Он позволяет закреплять элементы, которые вы часто копируете и вставляете, в список для быстрого доступа. Вот как использовать эту функцию.
Единственная проблема с использованием режима AHCI заключается в том, что его нельзя изменить после установки Windows, поэтому перед установкой Windows необходимо установить режим AHCI в BIOS. К счастью, это можно исправить.
Bitdefender Adware Removal Tool — это средство защиты системы от вредоносного рекламного ПО, которое угрожает личной информации на вашем компьютере.
Вы только что решили заменить старый маршрутизатор. Когда вы открываете коробку своего нового беспроводного маршрутизатора, вы можете задаться вопросом, почему здесь две сети: 2,4 ГГц и 5 ГГц. Так является ли сеть 5 ГГц сильнее? В чем разница между ними?
Если вы хотите создать частное облако для совместного использования и конвертирования файлов большого объема без ограничений, вы можете создать FTP-сервер (сервер протокола передачи файлов) на своем компьютере с Windows 10.
Финансовая компания dv01 воспользовалась возможностями SQL, превратив своих экспертов по Linux в первых пользователей SQL Server 2017.
Trend Cleaner — приложение для удаления ненужных файлов и очистки Windows 10 для ускорения работы системы.
Набор обоев Таноса в этой статье будет доступен во всех разрешениях для всех компьютеров и ноутбуков.
Производитель Jide обновил Remix OS 3.0 Dual Boot для поддержки 32-битных и 64-битных платформ Windows, что позволяет устанавливать Android параллельно с Windows.
