Durante anos, os desenvolvedores de malware e especialistas em segurança cibernética tiveram confrontos tensos. Recentemente, a comunidade de desenvolvimento de malware implementou uma nova estratégia para evitar a detecção: verificar a resolução da tela.
Vamos explorar por que a resolução da tela é importante para malware e o que isso significa para você.
Por que o malware se preocupa com a resolução da tela?
Para entender por que o malware se preocupa com a resolução da tela, considere um dos inimigos do malware: as máquinas virtuais .
As máquinas virtuais são uma ferramenta útil para pesquisadores de vírus. Eles funcionam como um computador dentro de outro, então você pode usar um sistema operacional diferente sem precisar de um novo PC.
Por exemplo, se você possui um computador com Windows 10, mas deseja usar Linux, pode configurar uma máquina virtual dentro do Windows 10 para executar Linux. Ele funcionará como um computador Linux, mas será executado em uma janela no Windows 10.
As máquinas virtuais são muito úteis para pesquisadores de vírus, porque agem como uma armadilha digital para moscas. Se um pesquisador acredita que um programa ou arquivo contém um vírus, ele pode testá-lo executando-o em uma máquina virtual.
Se o arquivo contiver um vírus, ele começará a infectar a máquina virtual. Como uma máquina virtual está configurada para se parecer com uma máquina real, o vírus acredita ter infectado um PC real, não uma máquina virtual. Como tal, ele começa a entregar sua carga e causar danos à máquina virtual. Felizmente, não há nenhum dano que o vírus possa causar ao computador principal. Afeta apenas máquinas virtuais.
Depois que o vírus for exposto, os pesquisadores poderão aprender como ele funciona e depois reiniciar a máquina virtual. Em seguida, eles pegaram o que aprenderam com a máquina virtual e usaram-no para criar definições de vírus para proteger usuários em computadores reais. Por causa disso, as máquinas virtuais são hostis aos desenvolvedores de malware.
Qual o papel da resolução da tela nisso?
Há uma falha neste método de teste de aplicativo. Quando os pesquisadores de malware criam uma máquina virtual, eles não se importam com todos os recursos extras. Tudo o que eles precisam para testar a presença de vírus é uma máquina virtual que funciona como um computador normal, todo o resto é opcional.
Como resultado, os pesquisadores às vezes não instalam o software convidado da VM. Esse software possibilitou recursos adicionais, como maior resolução de tela, dos quais o pesquisador realmente não precisava. Se o usuário não usar software cliente, a VM normalmente bloqueia o usuário em uma das duas resoluções baixas: 800x600 e 1024x768.
Estas duas resoluções são muito importantes para um desenvolvedor de malware. Os computadores e laptops modernos nem sempre vêm com telas com essa resolução. Esse tamanho está muito desatualizado.
Resoluções de dispositivos populares
Como o malware usa esses dados para evitar VMs?
Assim, quando um malware aparece em um computador host e percebe-se que ele é executado em uma resolução de 800×600 ou 1024×768, significa que o malware provavelmente está sendo executado em hardware muito desatualizado ou potencialmente capaz de monitorar recursos em uma máquina virtual. .
Se o vírus operar nessas condições, ficará exposto. Assim, para se proteger, o malware será encerrado por conta própria e não causará danos.
Na perspectiva do pesquisador, o programa rodou e não infectou o PC, portanto não era um vírus. Eles podem então fazer suposições falsas sobre o programa, permitindo que o malware viaje ainda mais antes de ser detectado.
Exemplo de malware testando resolução do mundo real
O Trickbot é um ótimo exemplo dessa tática em ação. Recentemente, os pesquisadores conseguiram invadir uma linha de código do TrickBot e analisar como ele funciona. Um usuário do Twitter chamado Mak (@maciekkotowicz) encontrou um código no TrickBot que verifica a resolução de 800×600 ou 1024×768.
O código no TrickBot verifica em resolução de 800×600 ou 1024×768
Nesse código, o vírus pega os valores X e Y da resolução do computador e depois os combina para ver o resultado. Se o resultado for 800×600 ou 1024×768, o código retornará 0. Isso indica malware em execução em uma máquina virtual.
Depois que o malware sabe que está em uma máquina virtual, ele se autodestrói para evitar a detecção. Como resultado, qualquer pessoa que verifique a existência de vírus numa máquina virtual irá considerá-la segura.
O que essa estratégia significa para você?
Claro, isso significa que se você usar a resolução 1024x768 ou 800x600, estará protegido contra alguns tipos de malware. Assim que chegarem ao sistema, eles notarão sua resolução e se autodestruirão antes de causar qualquer dano. Porém, para obter essa proteção, você terá que usar um computador com resolução muito pequena!
Como tal, a melhor forma de combater este novo tipo de malware é atualizar o seu software antivírus . Agora, esse truque anti-VM é de conhecimento público, por isso é altamente improvável que as empresas de segurança de ponta sejam enganadas novamente.
No entanto, é especialmente importante ter isso em mente se você tende a verificar arquivos em suas próprias máquinas virtuais. Se sua máquina virtual estiver rodando em 800×600 ou 1024×768, pode valer a pena configurá-la para a resolução mais comum. Se você não fizer isso, será impossível ter certeza se o arquivo que você está verificando possui essa precaução anti-VM instalada.
Você vê uma notificação de ativação do Windows 10 no canto direito da tela? Este artigo irá orientá-lo sobre como excluir o aviso de solicitação de direitos autorais no Windows 10.
Recentemente, a Microsoft lançou a atualização cumulativa mais recente para usuários de PC com Windows 10, chamada Build 14393.222. Esta atualização lançada para o Windows 10 corrige principalmente bugs com base no feedback do usuário e melhora a experiência de desempenho do sistema operacional.
Você tem computadores em sua rede local que precisam de acesso externo? Usar um host bastião como gatekeeper para sua rede pode ser uma boa solução.
Às vezes, pode ser necessário excluir logs de eventos antigos de uma só vez. Neste guia, Quantrimang.com mostrará três maneiras de excluir rapidamente todos os logs de eventos no Visualizador de Eventos do Windows 10.
Se você preferir usar um teclado clássico antigo, como o IBM Modelo M, que não inclui uma tecla física do Windows, existe um método fácil de adicionar mais, pegando emprestada uma tecla que você não usa com frequência.
WindowTop é uma ferramenta que tem a capacidade de escurecer todas as janelas de aplicativos e programas em execução em computadores com Windows 10. Ou você pode usar uma interface de fundo escuro no Windows.
Em muitos artigos anteriores, mencionamos que permanecer anônimo online é extremamente importante. Informações privadas vazam todos os anos, tornando a segurança online cada vez mais necessária. Essa também é a razão pela qual devemos usar endereços IP virtuais. Abaixo, aprenderemos sobre métodos para criar IPs falsos!
A barra de idiomas do Windows 8 é uma barra de ferramentas de idiomas em miniatura projetada para ser exibida automaticamente na tela da área de trabalho. No entanto, muitas pessoas desejam ocultar esta barra de idiomas na barra de tarefas.
Maximizar a velocidade da Internet é essencial para otimizar sua conexão de rede. Você pode ter uma ótima experiência de entretenimento e trabalho usando computadores, TVs com Internet, consoles de jogos, etc.
A conectividade sem fio é uma necessidade hoje e por isso a segurança sem fio é essencial para garantir a segurança da sua rede interna.
