Nel corso degli anni, gli sviluppatori di malware e gli esperti di sicurezza informatica sono stati in guerra cercando di incontrarsi. Di recente, la comunità di sviluppatori di malware ha implementato una nuova strategia per evitare il rilevamento: il controllo della risoluzione dello schermo.

Esploriamo perché la risoluzione dello schermo è importante per il malware e cosa significa per te.

Perché il malware si preoccupa della risoluzione dello schermo

Per scoprire perché il malware si preoccupa della risoluzione dello schermo, dobbiamo dare un'occhiata a uno dei suoi peggiori nemici; il macchina virtuale Che cos'è una macchina virtuale? Tutto quello che devi sapereLe macchine virtuali consentono di eseguire altri sistemi operativi sul computer corrente. Ecco cosa dovresti sapere su di loro. Leggi di più .

Le macchine virtuali sono uno strumento utile per i ricercatori di virus. Funzionano come un "computer all'interno di un computer", quindi puoi utilizzare un altro sistema operativo senza bisogno di un nuovo PC.

instagram viewer

Ad esempio, se si dispone di un computer Windows 10 ma si desidera utilizzare Linux, è possibile configurare una macchina virtuale all'interno di Windows 10 per eseguire Linux. Funzionerà proprio come una macchina Linux ma funziona in una finestra in Windows 10.

Le macchine virtuali sono molto utili per i ricercatori di virus, in quanto fungono da trappola per venere digitale. Se un ricercatore ritiene che un programma o un file contenga un virus, può testarlo eseguendolo all'interno di una macchina virtuale.

Se il file contiene un virus, inizierà a infettare la macchina virtuale. Poiché una macchina virtuale è configurata come una vera, il virus crede che stia infettando un PC reale e non virtuale. Come tale, inizia a consegnare il suo payload e fare danni alla macchina virtuale. Fortunatamente, nessuno dei danni che un virus "porta" al computer principale; interessa solo quello virtuale.

Una volta che il virus ha distribuito il gioco, il ricercatore può studiare come funziona, quindi ripristinare la macchina virtuale. Quindi prendono ciò che hanno imparato dalla macchina virtuale e lo usano per creare definizioni di virus per proteggere i veri computer delle persone.

Per questo motivo, le macchine virtuali sono la rovina degli sviluppatori di malware. Se qualcuno sospetta che un programma porti malware, può avviarlo in una macchina virtuale e cancellarlo se è male.

Da dove viene la risoluzione dello schermo?

C'è un difetto con questo metodo di test delle app. Quando un ricercatore di malware crea una macchina virtuale, non è realmente interessato a tutte le funzionalità aggiuntive. Tutto ciò di cui hanno bisogno per testare i virus è una macchina virtuale che si comporta come un normale computer, tutto il resto è facoltativo.

Di conseguenza, i ricercatori a volte non installano il software guest della VM. Questo software abilita funzionalità aggiuntive come risoluzioni dello schermo più elevate, di cui il ricercatore non ha davvero bisogno. Se l'utente non utilizza il software guest, la VM in genere blocca l'utente in una delle due risoluzioni basse: 800 × 600 e 1024 × 768.

Queste due risoluzioni sono importanti per uno sviluppatore di malware. I computer e i laptop moderni in genere non dispongono di schermi con quella risoluzione; è molto obsoleto.

Il grafico di Statcounter mostra la popolarità della risoluzione

In effetti, puoi vedere quanto è obsoleto Statcounter, che raccoglie informazioni sulle risoluzioni più utilizzate. Al momento della stesura di questo documento, le risoluzioni tendono ad essere maggiori o minori rispetto agli esempi di VM precedenti.

Su un lato dello spettro, hai la risoluzione standard 1366 × 768 per laptop e 1920 × 1080 per monitor per PC. Dall'altro lato, troverai in uso minuscoli schermi 360 × 640: quelli sono smartphone.

800 × 600 e 1024 × 768 non compaiono affatto. Il contrario di quest'ultimo, 768 × 1024, esiste; questa è una risoluzione per iPad. Tuttavia, anche questo occupa solo il 2,6 percento, il che significa che il 97,4 percento dei dispositivi utilizza risoluzioni diverse.

In che modo il malware utilizza questi dati per evitare le macchine virtuali

Di conseguenza, quando il malware arriva su un computer host e rileva che è in esecuzione su 800 × 600 o 1024 × 768, è su hardware molto obsoleto o, più probabilmente, vengono guardati in un ambiente virtuale macchina.

Se il virus opera in questa condizione, regalerà il gioco proprio sotto gli occhi di un ricercatore di virus. Pertanto, al fine di proteggere i suoi segreti, il malware si auto-termina e non danneggia.

Dal punto di vista del ricercatore, il programma ha funzionato e non ha infettato il PC, quindi deve essere benigno. Potrebbero quindi assegnare un rapporto falso negativo per il programma, consentendo al malware di spostarsi ulteriormente prima che venga finalmente catturato.

Esempi di malware per il controllo della risoluzione nel mondo reale

Trickbot è un eccellente esempio di questa tattica in natura. I ricercatori sono riusciti a entrare in una recente tensione del codice di TrickBot e hanno analizzato come funziona. Un utente Twitter noto come Mak (@maciekkotowicz) ha trovato una porzione di codice all'interno di TrickBot che esegue la scansione per una risoluzione 800 × 600 o 1024 × 768.

Di oggi #Trickbot caricatori con una risoluzione dello schermo #antivm trucco, se hai una risoluzione 800 × 600 o 1024 × 768 - sei al sicuro! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0

- mak (@maciekkotowicz) 30 giugno 2020

In questo pezzo di codice, il virus prende i valori X e Y della risoluzione del computer, quindi li combina per vedere il risultato. Se il risultato è uguale a 800 × 600 o 1024 × 768, il codice restituisce il numero 0. Questo indica al malware che è in esecuzione in una macchina virtuale.

Una volta che il malware sa che si trova all'interno di una macchina virtuale, si autodistrugge per evitare il rilevamento. Di conseguenza, chiunque verifichi la presenza di virus in una macchina virtuale lo considererà erroneamente sicuro.

Cosa significa questa tattica per te

Ovviamente, ciò significa che se hai utilizzato una risoluzione 1024 × 768 o 800 × 600, avrai protezione da alcuni ceppi di malware. Non appena arrivano, noteranno la tua risoluzione e si auto-detoneranno prima di fare danni. Tuttavia, ciò che guadagni in termini di protezione, perderai nella tua sanità mentale usando un computer con una risoluzione così ristretta!

Pertanto, la soluzione migliore per combattere questa nuova varietà di malware è aggiornare il tuo antivirus. Ora che questo trucco anti-VM è di dominio pubblico, è improbabile che le società di sicurezza di fascia alta vengano ingannate di nuovo.

Tuttavia, questo è importante notare se si ha la tendenza a testare i file nelle proprie macchine virtuali. Se la tua VM funziona a 800 × 600 o 1024 × 768, vale la pena impostarla su una risoluzione più popolare. In caso contrario, non si può essere certi che il file che si sta testando abbia installato questa precauzione anti-VM.

Rimanere al sicuro da virus furtivi

Con la sicurezza informatica che sta diventando l'enorme industria che è, gli sviluppatori di malware devono adattarsi per rimanere un passo avanti. Nuovi ceppi di malware sfuggiranno all'acquisizione se eseguiti in una macchina virtuale non preparata, quindi se si utilizzano macchine virtuali per il test dei virus, assicurarsi di tenerlo presente.

Il miglior antivirus è il buon senso, quindi perché non imparare il modi semplici per non avere mai un virus 10 semplici modi per non avere mai un virusCon un po 'di addestramento di base, puoi evitare completamente il problema di virus e malware sui tuoi computer e dispositivi mobili. Ora puoi calmarti e goderti Internet! Leggi di più ?

Divulgazione degli affiliati: Acquistando i prodotti che consigliamo, contribuisci a mantenere vivo il sito. Leggi di più.

Laurea in Informatica con una profonda passione per la sicurezza. Dopo aver lavorato per uno studio di giochi indie, ha trovato la sua passione per la scrittura e ha deciso di usare il suo set di abilità per scrivere su tutto ciò che riguarda la tecnologia.