Przez lata twórcy złośliwego oprogramowania i eksperci ds. cyberbezpieczeństwa toczyli napięte konfrontacje. Niedawno społeczność twórców złośliwego oprogramowania wdrożyła nową strategię mającą na celu uniknięcie wykrycia: Sprawdź rozdzielczość ekranu.
Przyjrzyjmy się, dlaczego rozdzielczość ekranu ma znaczenie w przypadku złośliwego oprogramowania i co to oznacza dla Ciebie.
Dlaczego złośliwe oprogramowanie dba o rozdzielczość ekranu?
Aby zrozumieć, dlaczego złośliwe oprogramowanie dba o rozdzielczość ekranu, rozważ jednego z wrogów złośliwego oprogramowania: maszyny wirtualne .
Maszyny wirtualne są użytecznym narzędziem dla badaczy wirusów. Działają jak jeden komputer w drugim, dzięki czemu można używać innego systemu operacyjnego bez konieczności zakupu nowego komputera.
Na przykład, jeśli masz komputer z systemem Windows 10, ale chcesz używać Linuksa, możesz skonfigurować maszynę wirtualną w systemie Windows 10, aby uruchomić Linuksa. Będzie działać jak komputer z systemem Linux, ale będzie działać w oknie systemu Windows 10.
Maszyny wirtualne są bardzo przydatne dla badaczy wirusów, ponieważ działają jak cyfrowa pułapka na muchy. Jeśli badacz uważa, że program lub plik zawiera wirusa, może go przetestować, uruchamiając go na maszynie wirtualnej.
Jeśli plik zawiera wirusa, zacznie on infekować maszynę wirtualną. Ponieważ maszyna wirtualna jest skonfigurowana tak, aby wyglądała jak prawdziwa maszyna, wirus uważa, że zainfekował prawdziwy komputer, a nie maszynę wirtualną. W związku z tym zaczyna dostarczać swój ładunek i powodować uszkodzenia maszyny wirtualnej. Na szczęście wirus nie powoduje żadnych uszkodzeń głównego komputera. Wpływa tylko na maszyny wirtualne.
Po ujawnieniu wirusa badacze mogą dowiedzieć się, jak on działa, a następnie zresetować maszynę wirtualną. Następnie wykorzystali to, czego nauczyli się z maszyny wirtualnej, do stworzenia definicji wirusów w celu ochrony użytkowników na prawdziwych komputerach. Z tego powodu maszyny wirtualne są wrogo nastawione do twórców złośliwego oprogramowania.
Jaką rolę odgrywa w tym rozdzielczość ekranu?
Ta metoda testowania aplikacji ma wadę. Kiedy badacze złośliwego oprogramowania tworzą maszynę wirtualną, tak naprawdę nie przejmują się wszystkimi dodatkowymi funkcjami. Wszystko, czego potrzebują do testowania wirusów, to maszyna wirtualna, która działa jak normalny komputer, cała reszta jest opcjonalna.
W rezultacie badacze czasami nie instalują oprogramowania gościa maszyny wirtualnej. Oprogramowanie to umożliwiło dodatkowe funkcje, takie jak wyższa rozdzielczość ekranu, których badacz tak naprawdę nie potrzebował. Jeśli użytkownik nie korzysta z oprogramowania klienckiego, maszyna wirtualna zazwyczaj blokuje użytkownika w jednej z dwóch niskich rozdzielczości: 800x600 i 1024x768.
Te dwie rozdzielczości są bardzo ważne dla twórcy złośliwego oprogramowania. Nowoczesne komputery i laptopy często nie są wyposażone w ekrany o tej rozdzielczości. Ten rozmiar jest bardzo przestarzały.
Popularne rozdzielczości urządzeń
W jaki sposób złośliwe oprogramowanie wykorzystuje te dane, aby unikać maszyn wirtualnych?
Tak więc, gdy na komputerze-hoście pojawi się złośliwe oprogramowanie i zostanie zauważone, że działa w rozdzielczości 800×600 lub 1024×768, oznacza to, że szkodliwe oprogramowanie prawdopodobnie działa na bardzo przestarzałym lub potencjalnie zdolnym sprzęcie. monitorowane możliwości na maszynie wirtualnej .
Jeżeli wirus będzie działał w takich warunkach, zostanie narażony. Dlatego, aby Cię chronić, złośliwe oprogramowanie samoczynnie zakończy działanie i nie spowoduje żadnych szkód.
Z punktu widzenia badacza program działał i nie infekował komputera, zatem nie był to wirus. Mogą następnie przyjąć fałszywe założenia na temat programu, umożliwiając szkodliwemu programowi dalszą podróż, zanim zostanie wykryty.
Przykład złośliwego oprogramowania testującego rozdzielczość w świecie rzeczywistym
Trickbot jest doskonałym przykładem tej taktyki w akcji. Badaczom udało się niedawno włamać do linii kodu TrickBota i przeanalizować jego działanie. Użytkownik Twittera Mak (@maciekkotowicz) znalazł w TrickBocie kod skanujący w rozdzielczości 800×600 lub 1024×768.
Kod w TrickBocie skanuje w rozdzielczości 800×600 lub 1024×768
W tym kodzie wirus pobiera wartości X i Y rozdzielczości komputera, a następnie łączy je, aby zobaczyć wynik. Jeśli wynikiem będzie 800×600 lub 1024×768, kod zwróci 0. Oznacza to, że na maszynie wirtualnej działa złośliwe oprogramowanie.
Gdy złośliwe oprogramowanie dowie się, że znajduje się na maszynie wirtualnej, ulega samozniszczeniu, aby uniknąć wykrycia. W efekcie każdy, kto będzie sprawdzał obecność wirusów na maszynie wirtualnej, uzna ją za bezpieczną.
Co oznacza dla Ciebie ta strategia?
Oznacza to oczywiście, że jeśli użyjesz rozdzielczości 1024x768 lub 800x600, będziesz chroniony przed niektórymi rodzajami złośliwego oprogramowania. Gdy tylko dotrą do systemu, zanotują rozdzielczość i samozniszczenie, zanim spowodują jakiekolwiek szkody. Aby jednak uzyskać tę ochronę, będziesz musiał użyć komputera o bardzo małej rozdzielczości!
Dlatego najlepszym sposobem zwalczania tego nowego typu złośliwego oprogramowania jest aktualizacja oprogramowania antywirusowego . Obecnie ta sztuczka przeciwko maszynom wirtualnym jest powszechnie znana, więc jest bardzo mało prawdopodobne, że wysokiej klasy firmy zajmujące się bezpieczeństwem dadzą się ponownie oszukać.
Jest to jednak szczególnie ważne, jeśli masz tendencję do sprawdzania plików na własnych maszynach wirtualnych. Jeśli Twoja maszyna wirtualna działa w rozdzielczości 800×600 lub 1024×768, warto ustawić ją na bardziej popularną rozdzielczość. Jeżeli tego nie zrobisz, nie będziesz mieć pewności, czy sprawdzany plik ma zainstalowane zabezpieczenie anty-VM.
Czy widzisz powiadomienie o aktywacji systemu Windows 10 w prawym rogu ekranu? W tym artykule dowiesz się, jak usunąć powiadomienie o żądaniu dotyczącym praw autorskich w systemie Windows 10.
Niedawno firma Microsoft wydała najnowszą aktualizację zbiorczą dla użytkowników komputerów PC z systemem Windows 10 o nazwie Build 14393.222. Ta aktualizacja wydana dla systemu Windows 10 naprawia głównie błędy na podstawie opinii użytkowników i poprawia wydajność systemu operacyjnego.
Czy masz komputery w sieci lokalnej, które wymagają dostępu zewnętrznego? Dobrym rozwiązaniem może być użycie hosta bastionowego jako strażnika sieci.
Czasami może być konieczne jednoczesne usunięcie wszystkich starych dzienników zdarzeń. W tym przewodniku Quantrimang.com pokaże Ci 3 sposoby szybkiego usunięcia wszystkich dzienników zdarzeń w Podglądzie zdarzeń systemu Windows 10.
Jeśli wolisz używać starej, klasycznej klawiatury, takiej jak IBM Model M, która nie zawiera fizycznego klawisza Windows, istnieje prosty sposób, aby dodać więcej, pożyczając klawisz, którego nie używasz często.
WindowTop to narzędzie, które ma możliwość przyciemnienia wszystkich okien aplikacji i programów działających na komputerach z systemem Windows 10. Możesz także użyć interfejsu z ciemnym tłem w systemie Windows.
W wielu poprzednich artykułach wspominaliśmy, że zachowanie anonimowości w Internecie jest niezwykle ważne. Co roku dochodzi do wycieku prywatnych informacji, co sprawia, że bezpieczeństwo w Internecie staje się coraz bardziej konieczne. Z tego też powodu powinniśmy używać wirtualnych adresów IP. Poniżej dowiemy się o metodach tworzenia fałszywych adresów IP!
Pasek języka w systemie Windows 8 to miniaturowy pasek narzędzi języka, zaprojektowany tak, aby automatycznie wyświetlał się na ekranie komputera stacjonarnego. Jednak wiele osób chce ukryć ten pasek języka na pasku zadań.
Maksymalizacja szybkości Internetu jest niezbędna do optymalizacji połączenia sieciowego. Możesz cieszyć się optymalną rozrywką i pracą, korzystając z komputerów, telewizorów z dostępem do Internetu, konsol do gier itp.
Łączność bezprzewodowa jest dziś koniecznością i dlatego bezpieczeństwo sieci bezprzewodowej jest niezbędne do zapewnienia bezpieczeństwa w sieci wewnętrznej.
