Durante años, los desarrolladores de malware y los expertos en ciberseguridad han tenido tensos enfrentamientos. Recientemente, la comunidad de desarrolladores de malware ha implementado una nueva estrategia para evitar la detección: comprobar la resolución de la pantalla.
Exploremos por qué la resolución de pantalla es importante para el malware y qué significa para usted.
¿Por qué al malware le importa la resolución de la pantalla?
Para comprender por qué el malware se preocupa por la resolución de la pantalla, considere uno de sus enemigos: las máquinas virtuales .
Las máquinas virtuales son una herramienta útil para los investigadores de virus. Funcionan como una computadora dentro de otra, por lo que puedes usar un sistema operativo diferente sin necesidad de una PC nueva.
Por ejemplo, si tiene una computadora con Windows 10 pero desea usar Linux, puede configurar una máquina virtual dentro de Windows 10 para ejecutar Linux. Funcionará como una computadora Linux pero se ejecutará en una ventana en Windows 10.
Las máquinas virtuales son muy útiles para los investigadores de virus porque actúan como una trampa para moscas digital. Si un investigador cree que un programa o archivo contiene un virus, puede probarlo ejecutándolo en una máquina virtual.
Si el archivo contiene un virus, comenzará a infectar la máquina virtual. Debido a que una máquina virtual está configurada para parecerse a una máquina real, el virus cree que ha infectado una PC real, no una máquina virtual. Como tal, comienza a entregar su carga útil y a causar daños a la máquina virtual. Afortunadamente, el virus no puede causar ningún daño a la computadora principal. Sólo afecta a las máquinas virtuales.
Una vez que el virus queda expuesto, los investigadores pueden aprender cómo funciona y luego restablecer la máquina virtual. Luego, tomaron lo que aprendieron de la máquina virtual y lo usaron para crear definiciones de virus para proteger a los usuarios en computadoras reales. Por esta razón, las máquinas virtuales son hostiles a los desarrolladores de malware.
¿Qué papel juega la resolución de la pantalla en esto?
Hay un defecto en este método de prueba de aplicaciones. Cuando los investigadores de malware crean una máquina virtual, en realidad no les importan todas las funciones adicionales. Todo lo que necesitan para realizar pruebas de virus es una máquina virtual que actúe como una computadora normal, todo lo demás es opcional.
Como resultado, a veces los investigadores no instalan el software invitado de la VM. Este software permitió funciones adicionales, como una mayor resolución de pantalla, que el investigador realmente no necesitaba. Si el usuario no utiliza software de cliente, la VM normalmente bloquea al usuario en una de dos resoluciones bajas: 800x600 y 1024x768.
Estas dos resoluciones son muy importantes para un desarrollador de malware. Las computadoras y portátiles modernos no suelen venir con pantallas con esa resolución. Ese tamaño está muy anticuado.
Resoluciones de dispositivos populares
¿Cómo utiliza el malware estos datos para evitar las máquinas virtuales?
Por lo tanto, cuando aparece malware en una computadora host y se observa que se ejecuta en una resolución de 800×600 o 1024×768, significa que el malware probablemente se esté ejecutando en hardware muy desactualizado o potencialmente capaz de monitorear capacidades en una máquina virtual. .
Si el virus opera en estas condiciones, quedará expuesto. Por lo tanto, para protegerse, el malware terminará por sí solo y no causará ningún daño.
Desde la perspectiva del investigador, el programa se ejecutó y no infectó la PC, por lo que no era un virus. Luego pueden hacer suposiciones falsas sobre el programa, lo que permite que el malware viaje más lejos antes de ser detectado.
Ejemplo de malware que prueba la resolución en el mundo real
Trickbot es un gran ejemplo de esta táctica en acción. Recientemente, los investigadores lograron acceder a una línea de código de TrickBot y analizar cómo funciona. Un usuario de Twitter llamado Mak (@maciekkotowicz) encontró un código en TrickBot que escanea una resolución de 800×600 o 1024×768.
El código en TrickBot escanea con una resolución de 800 × 600 o 1024 × 768
En este código, el virus toma los valores X e Y de la resolución de la computadora y luego los combina para ver el resultado. Si el resultado es 800×600 o 1024×768, el código devolverá 0. Esto indica que se está ejecutando malware en una máquina virtual.
Una vez que el malware sabe que está en una máquina virtual, se autodestruye para evitar ser detectado. Como resultado, cualquiera que busque virus en una máquina virtual la considerará segura.
¿Qué significa esta estrategia para usted?
Por supuesto, esto significa que si utilizas una resolución de 1024x768 o 800x600, estarás protegido de algunos tipos de malware. Tan pronto como lleguen al sistema, notarán su resolución y se autodestruirán antes de causar cualquier daño. Sin embargo, para obtener esta protección, tendrás que usar una computadora con una resolución muy pequeña.
Por ello, la mejor forma de combatir este nuevo tipo de malware es actualizar el software antivirus . Ahora bien, este truco anti-VM es de conocimiento público, por lo que es muy poco probable que las empresas de seguridad de alto nivel vuelvan a ser engañadas.
Sin embargo, es especialmente importante tener esto en cuenta si tiende a comprobar archivos en sus propias máquinas virtuales. Si su máquina virtual funciona a 800×600 o 1024×768, puede que valga la pena configurarla con la resolución más común. Si no lo hace, será imposible estar seguro de si el archivo que está comprobando tiene instalada esta precaución anti-VM.
¿Ves una notificación de activación de Windows 10 en la esquina derecha de la pantalla? Este artículo le guiará sobre cómo eliminar el aviso de solicitud de derechos de autor en Windows 10.
Recientemente, Microsoft lanzó la última actualización acumulativa para usuarios de PC con Windows 10 llamada Build 14393.222. Esta actualización lanzada para Windows 10 corrige principalmente errores basados en los comentarios de los usuarios y mejora la experiencia de rendimiento del sistema operativo.
¿Tiene computadoras en su red local que necesitan acceso externo? Usar un host bastión como guardián de su red puede ser una buena solución.
A veces es posible que necesites eliminar todos los registros de eventos antiguos a la vez. En esta guía, Quantrimang.com le mostrará 3 formas de eliminar rápidamente todos los registros de eventos en el Visor de eventos de Windows 10.
Si prefiere usar un teclado clásico antiguo, como el IBM Modelo M, que no incluye una tecla física de Windows, existe un método sencillo para agregar más, tomando prestada una tecla que no usa con frecuencia.
WindowTop es una herramienta que tiene la capacidad de atenuar todas las ventanas de aplicaciones y programas que se ejecutan en computadoras con Windows 10. O puede usar una interfaz de fondo oscuro en Windows.
En muchos artículos anteriores hemos mencionado que permanecer anónimo en línea es extremadamente importante. Cada año se filtra información privada, lo que hace que la seguridad en línea sea cada vez más necesaria. Esa es también la razón por la que deberíamos utilizar direcciones IP virtuales. ¡A continuación, aprenderemos sobre métodos para crear IP falsas!
La barra de idioma en Windows 8 es una barra de herramientas de idioma en miniatura diseñada para mostrarse automáticamente en la pantalla del escritorio. Sin embargo, mucha gente quiere ocultar esta barra de idioma en la barra de tareas.
Maximizar la velocidad de Internet es esencial para optimizar su conexión de red. Podrás tener una óptima experiencia de entretenimiento y trabajo utilizando computadoras, televisores con acceso a Internet, consolas de juegos, etc.
La conectividad inalámbrica es una necesidad hoy en día y, por eso, la seguridad inalámbrica es esencial para garantizar la seguridad en su red interna.
