Malware-ontwikkelaars en cybersecurity-experts hebben jarenlang gespannen confrontaties gehad. Onlangs heeft de malware-ontwikkelingsgemeenschap een nieuwe strategie geïmplementeerd om detectie te voorkomen: controleer de schermresolutie.
Laten we eens kijken waarom schermresolutie belangrijk is voor malware en wat dit voor u betekent.
Waarom geeft malware om schermresolutie?
Om te begrijpen waarom malware om schermresolutie geeft, moet u eens kijken naar een van de aartsvijanden van malware: virtuele machines .
Virtuele machines zijn een handig hulpmiddel voor virusonderzoekers. Ze werken als de ene computer in de andere, zodat u een ander besturingssysteem kunt gebruiken zonder dat u een nieuwe pc nodig heeft.
Als u bijvoorbeeld een Windows 10-computer hebt maar Linux wilt gebruiken, kunt u binnen Windows 10 een virtuele machine instellen om Linux uit te voeren. Het functioneert als een Linux-computer, maar draait in een venster op Windows 10.
Virtuele machines zijn erg handig voor virusonderzoekers, omdat ze fungeren als een digitale vliegenvanger. Als een onderzoeker denkt dat een programma of bestand een virus bevat, kan hij of zij dit testen door het op een virtuele machine uit te voeren.
Als het bestand een virus bevat, begint het de virtuele machine te infecteren. Omdat een virtuele machine is ingesteld om op een echte machine te lijken, denkt het virus dat het een echte pc heeft geïnfecteerd, en niet een virtuele machine. Als zodanig begint het zijn lading af te leveren en schade aan de virtuele machine te veroorzaken. Gelukkig is er geen schade die het virus aan de hoofdcomputer kan toebrengen. Het heeft alleen invloed op virtuele machines.
Zodra het virus is blootgesteld, kunnen onderzoekers leren hoe het werkt en vervolgens de virtuele machine opnieuw instellen. Vervolgens gebruikten ze wat ze van de virtuele machine hadden geleerd om virusdefinities te maken om gebruikers op echte computers te beschermen. Hierdoor staan virtuele machines vijandig tegenover malware-ontwikkelaars.
Welke rol speelt schermresolutie hierin?
Er is een fout in deze applicatietestmethode. Wanneer malwareonderzoekers een virtuele machine maken, zijn ze niet zo geïnteresseerd in alle extra functies. Het enige dat ze nodig hebben om op virussen te testen is een virtuele machine die zich gedraagt als een normale computer; al het andere is slechts optioneel.
Als gevolg hiervan installeren onderzoekers soms de gastsoftware van de VM niet. Deze software maakte extra functies mogelijk, zoals een hogere schermresolutie, die de onderzoeker niet echt nodig had. Als de gebruiker geen clientsoftware gebruikt, vergrendelt de VM de gebruiker doorgaans in een van de twee lage resoluties: 800x600 en 1024x768.
Deze twee resoluties zijn erg belangrijk voor een malware-ontwikkelaar. Moderne computers en laptops worden niet vaak geleverd met schermen met die resolutie. Dat formaat is erg ouderwets.
Populaire apparaatresoluties
Hoe gebruikt malware deze gegevens om VM’s te omzeilen?
Als er dus malware op een hostcomputer verschijnt en wordt opgemerkt dat deze op een resolutie van 800×600 of 1024×768 draait, betekent dit dat de malware waarschijnlijk op zeer verouderde of potentieel geschikte hardware draait. .
Als het virus onder deze omstandigheden opereert, wordt het blootgesteld. Om uzelf te beschermen, wordt de malware dus vanzelf beëindigd en veroorzaakt deze geen schade.
Vanuit het perspectief van de onderzoeker draaide het programma en infecteerde het de pc niet, dus het was geen virus. Ze kunnen dan valse aannames doen over het programma, waardoor de malware verder kan reizen voordat deze wordt gedetecteerd.
Voorbeeld van het testen van malware in de echte wereld
Trickbot is een goed voorbeeld van deze tactiek in actie. Onderzoekers zijn er onlangs in geslaagd een regel TrickBot-code in te breken en te analyseren hoe deze werkt. Een Twitter-gebruiker genaamd Mak (@maciekkotowicz) vond een code in TrickBot die een resolutie van 800×600 of 1024×768 scant.
Code in TrickBot-scans met een resolutie van 800×600 of 1024×768
In deze code neemt het virus de X- en Y-waarden van de computerresolutie en combineert deze vervolgens om het resultaat te zien. Als het resultaat 800×600 of 1024×768 is, retourneert de code 0. Dit geeft aan dat er malware op een virtuele machine draait.
Zodra de malware weet dat deze zich in een virtuele machine bevindt, vernietigt deze zichzelf om detectie te voorkomen. Als gevolg hiervan zal iedereen die op virussen in een virtuele machine controleert, deze als veilig beschouwen.
Wat betekent deze strategie voor u?
Dit betekent uiteraard dat als u een resolutie van 1024x768 of 800x600 gebruikt, u beschermd bent tegen bepaalde soorten malware. Zodra ze het systeem bereiken, zullen ze uw oplossing noteren en zichzelf vernietigen voordat ze enige schade aanrichten. Om deze bescherming te krijgen, moet u echter een computer met een zeer kleine resolutie gebruiken!
Daarom is de beste manier om dit nieuwe type malware te bestrijden het updaten van uw antivirussoftware . Nu is deze anti-VM-truc algemeen bekend, dus het is zeer onwaarschijnlijk dat high-end beveiligingsbedrijven opnieuw voor de gek zullen worden gehouden.
Dit is echter vooral belangrijk om in gedachten te houden als u de neiging heeft om bestanden op uw eigen virtuele machines te controleren. Als uw virtuele machine op 800×600 of 1024×768 draait, kan het de moeite waard zijn om deze op de meest gebruikelijke resolutie in te stellen. Als u dit niet doet, kunt u er onmogelijk zeker van zijn of deze anti-VM-voorzorgsmaatregel is geïnstalleerd op het bestand dat u controleert.
Ziet u een activeringsmelding voor Windows 10 in de rechterhoek van het scherm? In dit artikel wordt uitgelegd hoe u de kennisgeving van een auteursrechtverzoek op Windows 10 verwijdert.
Onlangs heeft Microsoft de nieuwste cumulatieve update voor Windows 10 pc-gebruikers uitgebracht, genaamd Build 14393.222. Deze update voor Windows 10 repareert voornamelijk bugs op basis van gebruikersfeedback en verbetert de prestatie-ervaring van het besturingssysteem.
Heeft u computers op uw lokale netwerk die externe toegang nodig hebben? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan een goede oplossing zijn.
Soms moet u oude gebeurtenislogboeken in één keer verwijderen. In deze handleiding laat Quantrimang.com u 3 manieren zien om snel alle gebeurtenislogboeken in Windows 10 Event Viewer te verwijderen.
Als je liever een oud klassiek toetsenbord gebruikt, zoals het IBM Model M, dat geen fysieke Windows-sleutel bevat, kun je er eenvoudig meer toevoegen door een sleutel te lenen die je niet vaak gebruikt.
WindowTop is een tool waarmee u alle toepassingsvensters en programma's op computers met Windows 10 kunt dimmen. Of u kunt een donkere achtergrondinterface op Windows gebruiken.
In veel eerdere artikelen hebben we vermeld dat online anoniem blijven uiterst belangrijk is. Elk jaar lekt privé-informatie uit, waardoor online beveiliging steeds noodzakelijker wordt. Dat is ook de reden dat we virtuele IP-adressen moeten gebruiken. Hieronder zullen we leren over methoden om nep-IP's te maken!
De Taalbalk op Windows 8 is een miniatuurtaalwerkbalk die is ontworpen om automatisch op het bureaublad te worden weergegeven. Veel mensen willen deze taalbalk echter op de taakbalk verbergen.
Het maximaliseren van de internetsnelheid is essentieel voor het optimaliseren van uw netwerkverbinding. U kunt een optimale entertainment- en werkervaring hebben met behulp van computers, internet-tv's, gameconsoles, enz.
Draadloze connectiviteit is tegenwoordig een noodzaak en daarom is draadloze beveiliging essentieel om de veiligheid in uw interne netwerk te garanderen.
