Under åren har malwareutvecklare och experter inom cybersäkerhet varit i krig för att försöka stötta varandra. Nyligen implementerade utvecklargruppen för skadlig programvara en ny strategi för att undvika detektering: kontrollera skärmupplösningen
Låt oss undersöka varför skärmupplösning är viktig för skadlig programvara och vad det betyder för dig.
Varför skadlig programvara bryr sig om skärmupplösning
För att ta reda på varför skadlig programvara bryr sig om skärmupplösningen måste vi titta på en av dess värsta fiender; de virtuell maskin Vad är en virtuell maskin? Allt du behöver vetaMed virtuella maskiner kan du köra andra operativsystem på din nuvarande dator. Här är vad du bör veta om dem. Läs mer .
Virtuella maskiner är ett användbart verktyg för virusforskare. De fungerar som en "dator inuti en dator", så att du kan använda ett annat operativsystem utan att behöva en ny dator.
Om du till exempel har en Windows 10-dator men vill använda Linux kan du ställa in en virtuell maskin inuti Windows 10 för att köra Linux. Det kommer att fungera precis som en Linux-maskin men körs i ett fönster i Windows 10.
Virtuella maskiner är mycket användbara för virusforskare eftersom de fungerar som en digital venusflugfälla. Om en forskare tror att ett program eller fil innehåller ett virus kan de testa det genom att köra det i en virtuell maskin.
Om filen innehåller ett virus börjar den smitta den virtuella maskinen. Eftersom en virtuell maskin är konfigurerad som en riktig, tror viruset att det infekterar en riktig dator och inte en virtuell. Som sådan börjar den leverera sin nyttolast och skada den virtuella maskinen. Lyckligtvis är ingen av de skador som ett virus "överför" till huvuddatorn; det påverkar bara den virtuella.
När viruset har gett spelet bort kan forskaren studera hur det fungerar och sedan återställa den virtuella maskinen. De tar sedan det de lärde sig från den virtuella maskinen och använder den för att skapa virusdefinitioner för att skydda människors verkliga datorer.
På grund av detta är virtuella maskiner banan för skadlig programutvecklare. Om någon misstänker att ett program har malware, kan de starta upp det i en virtuell maskin och skrubba bort det om det är dåligt.
Var kommer skärmupplösning in i detta?
Det finns en fel med denna metod för att testa appar. När en skadlig forskare skapar en virtuell maskin är de inte riktigt intresserade av alla ytterligare funktioner. Allt de behöver för att testa för virus är en virtuell maskin som fungerar som en vanlig dator - allt annat är valfritt.
Som ett resultat installerar forskare ibland inte VM: s gästprogram. Denna programvara möjliggör ytterligare funktioner som högre skärmupplösningar, som forskaren egentligen inte behöver. Om användaren inte använder gästprogramvaran låser VM vanligtvis användaren i en av två låga upplösningar: 800 × 600 och 1024 × 768.
Dessa två upplösningar är viktiga för en skadlig programutvecklare. Moderna datorer och bärbara datorer levereras vanligtvis inte med skärmar med den upplösningen. det är väldigt föråldrat.
I själva verket kan du se hur föråldrad den är på Statcounter, som samlar in information om de mest använda upplösningarna. I skrivande stund tenderar resolutioner att antingen vara större eller mindre än ovanstående VM-exempel.
På ena sidan av spektrumet har du standardupplösningen 1366 × 768 för bärbara datorer och 1920 × 1080 för PC-skärmar. På den andra sidan hittar du små 360 × 640 skärmar i användning - det är smartphones.
800 × 600 och 1024 × 768 visas inte alls. Det motsatta av det senare, 768 × 1024, existerar; detta är en iPad-upplösning. Men även detta tar bara upp 2,6 procent, vilket innebär att 97,4 procent av enheterna använder olika upplösningar.
Hur skadlig programvara använder dessa data för att undvika VM: er
Som sådan, när skadlig programvara landar på en värddator och noterar att den körs antingen på 800 × 600 eller 1024 × 768, det är antingen på mycket föråldrad hårdvara eller - mer troligt - de tittas på i en virtuell maskin.
Om viruset fungerar under det här tillståndet kommer det att ge spelet bort direkt under ögonen på en virusforskare. Som sådan, för att skydda dess hemligheter, upphör malware i stället själv och gör ingen skada.
Ur forskarens perspektiv körde programmet och infekterade inte datorn, så det måste vara godartat. De kan sedan tilldela en falsk negativ rapport för programmet, så att skadlig programvara kan resa längre innan det äntligen fångas.
Exempel på upplösningskontroll av skadlig programvara i den verkliga världen
Trickbot är ett utmärkt exempel på denna taktik ute i naturen. Forskare lyckades bryta in en ny stam av TrickBots kod och analyserade hur det fungerar. En Twitter-användare, känd som Mak (@maciekkotowicz), hittade ett stycke kod i TrickBot som söker efter en 800 × 600 eller 1024 × 768 upplösning.
Dagens #Trickbot lastare med skärmupplösning #antivm trick, om du har 800 × 600 eller 1024 × 768 upplösning - du är säker! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 juni 2020
I detta kodkod tar viruset X- och Y-värdena i datorns upplösning och kombinerar dem sedan för att se resultatet. Om resultatet är antingen 800 × 600 eller 1024 × 768 returnerar koden siffran 0. Detta berättar skadlig programvara att den körs i en VM.
När skadlig programvara vet att det finns i en virtuell maskin förstörs den själv för att undvika upptäckt. Som ett resultat kommer alla som söker efter virus i en virtuell maskin felaktigt att anse det som säkert.
Vad denna taktik betyder för dig
Naturligtvis betyder detta att om du använde en upplösning på 1024 × 768 eller 800 × 600, kommer du att ha skydd från vissa skadliga stammar. Så snart de anländer kommer de att notera din upplösning och självsprängas innan de gör några skador. Men vad du får i skyddet, kommer du att förlora i din förnuft genom att använda en dator med en så trång upplösning!
Som sådan är ditt bästa alternativ för att bekämpa denna nya stam av skadlig programvara att uppdatera ditt antivirus. Nu när detta anti-VM-trick är allmän kunskap är det osannolikt att high-end-säkerhetsföretagen kommer att luras igen.
Detta är dock viktigt att notera om du har en tendens att testa filer på dina egna virtuella maskiner. Om din VM körs med 800 × 600 eller 1024 × 768, är det värt att ställa in den till en mer populär upplösning. Om du inte gör det, kan du inte vara säker på om filen du testar har den här anti-VM-försäkringen installerad.
Att hålla dig säker från smyga virus
Med cybersäkerhet blir den enorma industrin som det är, måste malware-utvecklare anpassa sig för att stanna ett steg framåt. Nya stammar av skadlig kod kommer att undvika fångst om de körs i en oförberedd VM, så om du använder VM: er för virustestning, se till att ha detta i åtanke.
Det bästa antiviruset är sunt förnuft, så varför inte lära sig det enkla sätt att aldrig få ett virus 10 enkla sätt att aldrig få ett virusMed lite grundläggande träning kan du helt undvika problemet med virus och skadlig kod på dina datorer och mobila enheter. Nu kan du lugna dig och njuta av internet! Läs mer ?
Affiliate Disclosure: Genom att köpa de produkter vi rekommenderar hjälper du att hålla webbplatsen vid liv. Läs mer.
En datavetenskapsexamen med en djup passion för allt säkerhet. Efter att ha arbetat för en indie-spelstudio fann han sin passion för att skriva och bestämde sig för att använda sin skicklighet för att skriva om alla tekniska saker.
