De ani de zile, dezvoltatorii de programe malware și experții în securitate cibernetică au avut confruntări tensionate. Recent, comunitatea de dezvoltare a programelor malware a implementat o nouă strategie pentru a evita detectarea: Verificați rezoluția ecranului.
Să explorăm de ce este importantă rezoluția ecranului pentru malware și ce înseamnă aceasta pentru tine.
De ce îi pasă malware-ului de rezoluția ecranului?
Pentru a înțelege de ce malware-ului îi pasă de rezoluția ecranului, luați în considerare unul dintre nemesis-ul malware: Virtual Machines .
Mașinile virtuale sunt un instrument util pentru cercetătorii de viruși. Ele funcționează ca un computer în altul, astfel încât să puteți utiliza un alt sistem de operare fără a avea nevoie de un computer nou.
De exemplu, dacă aveți un computer cu Windows 10, dar doriți să utilizați Linux, puteți configura o mașină virtuală în Windows 10 pentru a rula Linux. Va funcționa ca un computer Linux, dar va rula într-o fereastră pe Windows 10.
Mașinile virtuale sunt foarte utile pentru cercetătorii de viruși, deoarece acţionează ca o capcană digitală pentru muște. Dacă un cercetător consideră că un program sau un fișier conține un virus, îl poate testa rulându-l într-o mașină virtuală.
Dacă fișierul conține un virus, acesta va începe să infecteze mașina virtuală. Deoarece o mașină virtuală este configurată să arate ca o mașină reală, virusul crede că a infectat un computer real, nu o mașină virtuală. Ca atare, începe să-și livreze sarcina utilă și să provoace daune mașinii virtuale. Din fericire, nu există nicio daune pe care virusul îl poate face computerului principal. Afectează doar mașinile virtuale.
Odată ce virusul este expus, cercetătorii pot afla cum funcționează, apoi pot reseta mașina virtuală. Apoi, au luat ceea ce au învățat de la mașina virtuală și le-au folosit pentru a crea definiții de viruși pentru a proteja utilizatorii pe computere reale. Din acest motiv, mașinile virtuale sunt ostile dezvoltatorilor de programe malware.
Ce rol joacă rezoluția ecranului în asta?
Există un defect cu această metodă de testare a aplicației. Când cercetătorii de programe malware creează o mașină virtuală, nu le pasă cu adevărat de toate caracteristicile suplimentare. Tot ce au nevoie pentru a testa viruși este o mașină virtuală care acționează ca un computer normal, totul este doar opțional.
Ca urmare, cercetătorii uneori nu instalează software-ul invitat al VM. Acest software a activat funcții suplimentare, cum ar fi o rezoluție mai mare a ecranului, de care cercetătorul nu avea cu adevărat nevoie. Dacă utilizatorul nu folosește software client, VM-ul îl blochează de obicei într-una dintre cele două rezoluții scăzute: 800x600 și 1024x768.
Aceste două rezoluții sunt foarte importante pentru un dezvoltator de malware. Calculatoarele și laptopurile moderne nu vin adesea cu ecrane la acea rezoluție. Mărimea aceea este foarte depășită.
Rezoluții populare ale dispozitivelor
Cum folosește malware-ul aceste date pentru a evita VM-urile?
Astfel, atunci când malware-ul apare pe un computer gazdă și se observă că acesta rulează la o rezoluție de 800×600 sau 1024×768, înseamnă că malware-ul rulează probabil pe hardware foarte învechit sau potențial capabil.capacitate monitorizate într-o mașină virtuală .
Dacă virusul funcționează în aceste condiții, va fi expus. Astfel, pentru a vă proteja, malware-ul se va termina de la sine și nu va provoca daune.
Din perspectiva cercetătorului, programul a rulat și nu a infectat PC-ul, deci nu a fost un virus. Ei pot face apoi presupuneri false despre program, permițând malware-ului să circule mai departe înainte de a fi detectat.
Exemplu de testare a malware-ului pentru rezoluția reală
Trickbot este un exemplu excelent al acestei tactici în acțiune. Cercetătorii au reușit recent să pătrundă într-o linie de cod TrickBot și să analizeze modul în care funcționează. Un utilizator de Twitter pe nume Mak (@maciekkotowicz) a găsit un cod în TrickBot care scanează cu rezoluție de 800×600 sau 1024×768.
Codul din TrickBot scanează la rezoluție 800×600 sau 1024×768
În acest cod, virusul ia valorile X și Y ale rezoluției computerului, apoi le combină pentru a vedea rezultatul. Dacă rezultatul este 800×600 sau 1024×768, codul va returna 0. Aceasta indică malware care rulează într-o mașină virtuală.
Odată ce malware-ul știe că se află într-o mașină virtuală, se autodistruge pentru a evita detectarea. Ca rezultat, oricine verifică viruși într-o mașină virtuală va considera că este sigur.
Ce înseamnă această strategie pentru tine?
Desigur, asta înseamnă că, dacă folosești rezoluția 1024x768 sau 800x600, vei fi protejat de anumite tipuri de malware. De îndată ce ajung în sistem, ei vor nota rezoluția și autodistrugerea înainte de a provoca orice daune. Cu toate acestea, pentru a obține această protecție, va trebui să utilizați un computer cu o rezoluție foarte mică!
Ca atare, cel mai bun mod de a combate acest nou tip de malware este actualizarea software-ului antivirus . Acum, acest truc anti-VM este de cunoștință publică, așa că este foarte puțin probabil ca companiile de securitate de vârf să fie păcălite din nou.
Acest lucru este deosebit de important de reținut, totuși, dacă aveți tendința de a verifica fișierele din propriile mașini virtuale. Dacă mașina dvs. virtuală rulează la 800×600 sau 1024×768, poate merita să o setați la rezoluția mai comună. Dacă nu faceți acest lucru, este imposibil să fiți sigur dacă fișierul pe care îl verificați are instalată această precauție anti-VM.
Vedeți o notificare de activare a Windows 10 în colțul din dreapta al ecranului? Acest articol vă va ghida cum să ștergeți notificarea de solicitare a drepturilor de autor pe Windows 10.
Recent, Microsoft a lansat cea mai recentă actualizare cumulativă pentru utilizatorii de PC Windows 10 numită Build 14393.222. Această actualizare lansată pentru Windows 10 remediază în principal erorile pe baza feedback-ului utilizatorilor și îmbunătățește experiența de performanță a sistemului de operare.
Aveți computere în rețeaua locală care au nevoie de acces extern? Utilizarea unei gazde bastion ca gatekeeper pentru rețeaua dvs. poate fi o soluție bună.
Uneori, poate fi necesar să ștergeți jurnalele vechi de evenimente dintr-o dată. În acest ghid, Quantrimang.com vă va arăta 3 moduri de a șterge rapid toate jurnalele de evenimente din Windows 10 Event Viewer.
Dacă preferați să utilizați o tastatură clasică veche, cum ar fi IBM Model M, care nu include o tastă fizică Windows, există o metodă ușoară de a adăuga mai multe, împrumutând o tastă pe care nu o utilizați des.
WindowTop este un instrument care are capacitatea de a estompa toate ferestrele aplicațiilor și programele care rulează pe computere cu Windows 10. Sau puteți utiliza o interfață cu fundal întunecat pe Windows.
În multe articole anterioare, am menționat că păstrarea anonimatului online este extrem de importantă. Informații private sunt scurse în fiecare an, ceea ce face securitatea online din ce în ce mai necesară. Acesta este și motivul pentru care ar trebui să folosim adrese IP virtuale. Mai jos, vom afla despre metodele de a crea IP-uri false!
Bara de limbă din Windows 8 este o bară de instrumente de limbă în miniatură concepută pentru a fi afișată automat pe ecranul desktop. Cu toate acestea, mulți oameni doresc să ascundă această bară de limbă în bara de activități.
Maximizarea vitezei de internet este esențială pentru optimizarea conexiunii la rețea. Puteți avea o experiență optimă de divertisment și de lucru folosind computere, televizoare gata de internet, console de jocuri etc.
Conectivitatea wireless este o necesitate astăzi și, din această cauză, securitatea wireless este esențială pentru a asigura siguranța în rețeaua dumneavoastră internă.
