Как вредоносное ПО использует разрешение экрана, чтобы избежать обнаружения

Как вредоносное ПО использует разрешение экрана, чтобы избежать обнаружения

В течение многих лет между разработчиками вредоносного ПО и экспертами по кибербезопасности были напряженные противостояния. Недавно сообщество разработчиков вредоносного ПО внедрило новую стратегию, позволяющую избежать обнаружения: проверьте разрешение экрана.

Давайте рассмотрим, почему разрешение экрана имеет значение для вредоносных программ и что это значит для вас.

Почему вредоносное ПО заботится о разрешении экрана?

Чтобы понять, почему вредоносное ПО заботится о разрешении экрана, рассмотрим одного из его заклятых врагов: виртуальные машины .

Виртуальные машины — полезный инструмент для исследователей вирусов. Они работают как один компьютер внутри другого, поэтому вы можете использовать другую операционную систему без необходимости приобретения нового ПК.

Например, если у вас есть компьютер с Windows 10, но вы хотите использовать Linux, вы можете настроить виртуальную машину внутри Windows 10 для запуска Linux. Он будет работать как компьютер с Linux, но работать в окне Windows 10.

Виртуальные машины очень полезны для исследователей вирусов, поскольку они действуют как цифровая ловушка для мух. Если исследователь считает, что программа или файл содержит вирус, он может проверить его, запустив на виртуальной машине.

Если файл содержит вирус, он начнет заражать виртуальную машину. Поскольку виртуальная машина настроена так, чтобы выглядеть как реальная, вирус полагает, что заразил реальный компьютер, а не виртуальную машину. Таким образом, он начинает доставлять свою полезную нагрузку и наносить ущерб виртуальной машине. К счастью, вирус не может нанести никакого вреда главному компьютеру. Это касается только виртуальных машин.

Как только вирус будет обнаружен, исследователи смогут узнать, как он работает, а затем перезагрузить виртуальную машину. Затем они взяли знания, полученные от виртуальной машины, и использовали их для создания определений вирусов для защиты пользователей на реальных компьютерах. Из-за этого виртуальные машины враждебны разработчикам вредоносного ПО.

Какую роль в этом играет разрешение экрана?

В этом методе тестирования приложений есть недостаток. Когда исследователи вредоносного ПО создают виртуальную машину, их не волнуют все дополнительные функции. Все, что им нужно для проверки на вирусы, — это виртуальная машина, действующая как обычный компьютер, все остальное не является обязательным.

В результате исследователи иногда не устанавливают гостевое программное обеспечение виртуальной машины. Это программное обеспечение позволяло использовать дополнительные функции, такие как более высокое разрешение экрана, которые на самом деле не нужны исследователю. Если пользователь не использует клиентское программное обеспечение, виртуальная машина обычно ограничивает пользователя одним из двух низких разрешений: 800x600 и 1024x768.

Эти два решения очень важны для разработчика вредоносного ПО. Современные компьютеры и ноутбуки не часто оснащены экранами такого разрешения. Этот размер очень устарел.

Популярные разрешения устройств

Как вредоносное ПО использует эти данные, чтобы избежать виртуальных машин?

Таким образом, когда вредоносное ПО появляется на главном компьютере и замечено, что оно работает с разрешением 800×600 или 1024×768, это означает, что вредоносное ПО, вероятно, работает на очень устаревшем или потенциально способном оборудовании. .

Если вирус действует в таких условиях, он будет раскрыт. Таким образом, чтобы защитить себя, вредоносное ПО завершится само по себе и не причинит никакого вреда.

С точки зрения исследователя, программа работала и не заражала компьютер, поэтому это не был вирус. Затем они могут сделать ложные предположения о программе, позволяя вредоносному ПО распространиться дальше, прежде чем его обнаружат.

Пример тестирования вредоносного ПО в реальном мире

Trickbot — отличный пример этой тактики в действии. Недавно исследователям удалось взломать строку кода TrickBot и проанализировать, как она работает. Пользователь Twitter по имени Мак (@maciekkotowicz) нашел в TrickBot код, который сканирует с разрешением 800×600 или 1024×768.

Как вредоносное ПО использует разрешение экрана, чтобы избежать обнаружения

Код в TrickBot сканирует с разрешением 800×600 или 1024×768.

В этом коде вирус берет значения X и Y разрешения компьютера, затем объединяет их, чтобы увидеть результат. Если результат — 800×600 или 1024×768, код вернет 0. Это указывает на вредоносное ПО, запущенное на виртуальной машине.

Как только вредоносная программа узнает, что находится на виртуальной машине, она самоуничтожается, чтобы избежать обнаружения. В результате любой, кто проверяет виртуальную машину на наличие вирусов, будет считать ее безопасной.

Что для вас значит эта стратегия?

Конечно, это означает, что если вы используете разрешение 1024x768 или 800x600, вы будете защищены от некоторых типов вредоносных программ. Как только они достигнут системы, они заметят ваше решение и самоуничтожятся, прежде чем нанести какой-либо ущерб. Однако, чтобы получить эту защиту, вам придется использовать компьютер с очень маленьким разрешением!

Таким образом, лучший способ борьбы с этим новым типом вредоносного ПО — обновить антивирусное программное обеспечение . Теперь этот трюк против виртуальных машин стал общеизвестным, поэтому маловероятно, что высококлассные компании, занимающиеся безопасностью, снова будут обмануты.

Однако об этом особенно важно помнить, если вы склонны проверять файлы на своих собственных виртуальных машинах. Если ваша виртуальная машина работает с разрешением 800×600 или 1024×768, возможно, стоит установить для нее более распространенное разрешение. Если вы этого не сделаете, невозможно быть уверенным, что в проверяемом файле установлена ​​эта мера защиты от виртуальной машины.


Как установить виджет macOS Big Sur/iOS 14 на Windows 10

Как установить виджет macOS Big Sur/iOS 14 на Windows 10

Версия Big Sur для macOS была официально анонсирована на недавней конференции WWDC. И вы можете полностью перенести интерфейс macOS Big Sur на Windows 10 с помощью инструмента Rainmeter.

Как защитить удаленный рабочий стол от вредоносного ПО RDStealer

Как защитить удаленный рабочий стол от вредоносного ПО RDStealer

RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные путем заражения RDP-сервера и мониторинга его удаленных подключений.

7 лучших программ для управления файлами для Windows, которые заменят Проводник

7 лучших программ для управления файлами для Windows, которые заменят Проводник

Может быть, пришло время попрощаться с Проводником и использовать стороннее программное обеспечение для управления файлами? Вот 7 лучших альтернатив Windows File Explorer.

Как работает LoRaWAN? Почему это важно для Интернета вещей?

Как работает LoRaWAN? Почему это важно для Интернета вещей?

LoRaWAN или беспроводная сеть дальнего действия полезна для связи между маломощными устройствами на больших расстояниях.

8 способов открыть дополнительные параметры запуска в Windows 10

8 способов открыть дополнительные параметры запуска в Windows 10

Перейдя к «Дополнительным параметрам запуска», вы можете сбросить Windows 10, восстановить Windows 10, восстановить Windows 10 из файла образа, который вы создали ранее, исправить ошибки запуска, открыть командную строку для выполнения параметров, выбрать другие, открыть настройки UEFI, изменить настройки запуска. ..

Почему стоит хорошо подумать, прежде чем войти в систему через аккаунт социальной сети?

Почему стоит хорошо подумать, прежде чем войти в систему через аккаунт социальной сети?

Каждый раз, когда вы подписываетесь на новую услугу, вы можете выбрать имя пользователя и пароль или просто войти в систему через Facebook или Twitter. Но стоит ли вам это делать?

Инструкция по смене Google DNS 8.8.8.8 и 8.8.4.4

Инструкция по смене Google DNS 8.8.8.8 и 8.8.4.4

DNS Google 8.8.8.8 8.8.4.4 — это один из DNS, который предпочитают использовать многие пользователи, особенно для ускорения доступа к сети или доступа к заблокированному Facebook.

Как всегда запускать Microsoft Edge в режиме InPrivate в Windows 10

Как всегда запускать Microsoft Edge в режиме InPrivate в Windows 10

Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, вы можете настроить Edge всегда запускать в режиме InPrivate.

Узнайте разницу между симметричным и асимметричным шифрованием

Узнайте разницу между симметричным и асимметричным шифрованием

Сегодня обычно используются два типа шифрования: симметричное и асимметричное шифрование. Основное различие между этими двумя типами шифрования заключается в том, что при симметричном шифровании используется один ключ как для операций шифрования, так и для дешифрования.

Как выйти из полноэкранного режима в Windows

Как выйти из полноэкранного режима в Windows

Полноэкранный режим на вашем компьютере удалит ненужный контент. Итак, как выйти из полноэкранного режима Windows?