Im Laufe der Jahre haben Malware-Entwickler und Cybersicherheitsexperten versucht, sich gegenseitig zu stärken. Vor kurzem hat die Community der Malware-Entwickler eine neue Strategie eingeführt, die der Erkennung entgeht: Überprüfung der Bildschirmauflösung.
Lassen Sie uns untersuchen, warum die Bildschirmauflösung für Malware wichtig ist und was sie für Sie bedeutet.
Warum sich Malware um die Bildschirmauflösung kümmert
Um herauszufinden, warum Malware sich um die Bildschirmauflösung kümmert, müssen wir uns einen der schlimmsten Feinde ansehen. das virtuelle Maschine Was ist eine virtuelle Maschine? Alles, was Sie wissen müssenMit virtuellen Maschinen können Sie andere Betriebssysteme auf Ihrem aktuellen Computer ausführen. Folgendes sollten Sie über sie wissen: Weiterlesen .
Virtuelle Maschinen sind ein nützliches Werkzeug für Virenforscher. Sie fungieren als „Computer in einem Computer“, sodass Sie ein anderes Betriebssystem verwenden können, ohne einen neuen PC zu benötigen.
Wenn Sie beispielsweise einen Windows 10-Computer haben, aber Linux verwenden möchten, können Sie eine virtuelle Maschine in Windows 10 einrichten, um Linux auszuführen. Es verhält sich wie ein Linux-Computer, wird jedoch in einem Fenster in Windows 10 ausgeführt.
Virtuelle Maschinen sind für Virusforscher sehr nützlich, da sie als digitale Venusfliegenfalle fungieren. Wenn ein Forscher glaubt, dass ein Programm oder eine Datei einen Virus enthält, kann er ihn testen, indem er ihn in einer virtuellen Maschine ausführt.
Wenn die Datei einen Virus enthält, infiziert sie die virtuelle Maschine. Da eine virtuelle Maschine wie eine reale Maschine eingerichtet ist, glaubt der Virus, dass sie einen realen PC und keinen virtuellen infiziert. Als solches beginnt es, seine Nutzlast zu liefern und der virtuellen Maschine Schaden zuzufügen. Glücklicherweise „überträgt“ keiner der Schäden, die ein Virus verursacht, auf den Hauptcomputer. es betrifft nur die virtuelle.
Sobald der Virus das Spiel verraten hat, kann der Forscher untersuchen, wie es funktioniert, und dann die virtuelle Maschine zurücksetzen. Anschließend nehmen sie das, was sie von der virtuellen Maschine gelernt haben, und erstellen daraus Virendefinitionen, um die realen Computer der Benutzer zu schützen.
Aus diesem Grund sind virtuelle Maschinen der Fluch von Malware-Entwicklern. Wenn jemand den Verdacht hat, dass ein Programm Malware enthält, kann er es in einer virtuellen Maschine starten und es entfernen, wenn es fehlerhaft ist.
Woher kommt die Bildschirmauflösung?
Bei dieser Methode zum Testen von Apps gibt es einen Fehler. Wenn ein Malware-Forscher eine virtuelle Maschine erstellt, interessiert er sich nicht wirklich für alle zusätzlichen Funktionen. Alles, was sie zum Testen auf Viren benötigen, ist eine virtuelle Maschine, die sich wie ein normaler Computer verhält - alles andere ist optional.
Infolgedessen installieren Forscher die Gastsoftware der VM manchmal nicht. Diese Software ermöglicht zusätzliche Funktionen wie höhere Bildschirmauflösungen, die der Forscher nicht wirklich benötigt. Wenn der Benutzer die Gastsoftware nicht verwendet, sperrt die VM den Benutzer normalerweise in eine von zwei niedrigen Auflösungen: 800 × 600 und 1024 × 768.
Diese beiden Auflösungen sind für einen Malware-Entwickler wichtig. Moderne Computer und Laptops verfügen normalerweise nicht über Bildschirme mit dieser Auflösung. es ist sehr veraltet
In der Tat können Sie sehen, wie veraltet es ist Statcounter, die Informationen zu den am häufigsten verwendeten Auflösungen sammelt. Zum Zeitpunkt des Schreibens sind die Auflösungen entweder größer oder kleiner als die obigen VM-Beispiele.
Auf einer Seite des Spektrums haben Sie die Standardauflösung von 1366 × 768 für Laptops und 1920 × 1080 für PC-Monitore. Auf der anderen Seite werden winzige 360 × 640-Bildschirme verwendet - das sind Smartphones.
800 × 600 und 1024 × 768 werden überhaupt nicht angezeigt. Die Umkehrung des letzteren, 768 × 1024, existiert; Dies ist eine iPad-Auflösung. Selbst dies nimmt jedoch nur 2,6 Prozent ein, was bedeutet, dass 97,4 Prozent der Geräte unterschiedliche Auflösungen verwenden.
Wie Malware diese Daten verwendet, um VMs zu vermeiden
Wenn Malware auf einem Host-Computer landet und feststellt, dass sie entweder auf 800 × 600 oder 800 × 600 ausgeführt wird 1024 × 768, entweder auf sehr veralteter Hardware oder - wahrscheinlicher - sie werden in einer virtuellen Hardware überwacht Maschine.
Wenn der Virus unter dieser Bedingung funktioniert, wird das Spiel direkt unter den Augen eines Virusforschers weitergegeben. Um ihre Geheimnisse zu schützen, wird die Malware stattdessen selbst beendet und verursacht keinen Schaden.
Aus Sicht des Forschers lief das Programm und infizierte den PC nicht, daher muss es harmlos sein. Sie können dann dem Programm einen falsch negativen Bericht zuweisen, sodass die Malware weiter verbreitet werden kann, bevor sie endgültig abgefangen wird.
Beispiele für Malware zur Überprüfung der Auflösung in der realen Welt
Trickbot ist ein hervorragendes Beispiel für diese Taktik in freier Wildbahn. Den Forschern gelang es, in einen neuen Stamm von TrickBots Code einzudringen und zu analysieren, wie er funktioniert. Ein Twitter-Benutzer namens Mak (@maciekkotowicz) hat in TrickBot einen Codeabschnitt gefunden, der nach einer Auflösung von 800 × 600 oder 1024 × 768 sucht.
Heute #Trickbot Lader mit Bildschirmauflösung #antivm Trick, wenn Sie eine Auflösung von 800 × 600 oder 1024 × 768 haben - Sie sind sicher! ;] cc @VK_Intel@ James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. Juni 2020
In diesem Codeabschnitt erfasst der Virus die X- und Y-Werte der Computerauflösung und kombiniert sie dann, um das Ergebnis anzuzeigen. Wenn das Ergebnis entweder 800 × 600 oder 1024 × 768 entspricht, gibt der Code die Zahl 0 zurück. Dies teilt der Malware mit, dass sie in einer VM ausgeführt wird.
Sobald die Malware weiß, dass sie sich in einer virtuellen Maschine befindet, zerstört sie sich selbst, um eine Erkennung zu vermeiden. Infolgedessen hält jeder, der in einer virtuellen Maschine nach Viren sucht, diese fälschlicherweise für sicher.
Was diese Taktik für Sie bedeutet
Dies bedeutet natürlich, dass Sie bei Verwendung einer Auflösung von 1024 × 768 oder 800 × 600 vor einigen Arten von Malware geschützt sind. Sobald sie ankommen, werden sie Ihre Entschlossenheit notieren und sich selbst zur Detonation bringen, bevor sie Schaden anrichten. Was Sie jedoch an Schutz gewinnen, verlieren Sie an Gesundheit, wenn Sie einen Computer mit einer so beengten Auflösung verwenden!
Daher ist es am besten, Ihr Antivirenprogramm zu aktualisieren, um diese neue Art von Malware abzuwehren. Jetzt, da dieser Anti-VM-Trick öffentlich bekannt ist, ist es unwahrscheinlich, dass die High-End-Sicherheitsunternehmen erneut getäuscht werden.
Dies ist jedoch wichtig zu beachten, wenn Sie dazu neigen, Dateien in Ihren eigenen virtuellen Maschinen zu testen. Wenn Ihre VM mit 800 × 600 oder 1024 × 768 ausgeführt wird, sollten Sie eine beliebtere Auflösung einstellen. Wenn Sie dies nicht tun, können Sie nicht sicher sein, ob in der zu testenden Datei diese Anti-VM-Vorsichtsmaßnahme installiert ist.
Schutz vor hinterhältigen Viren
Da Cybersicherheit zu einer riesigen Branche wird, müssen sich Malware-Entwickler anpassen, um einen Schritt voraus zu sein. Neue Malware-Stämme entziehen sich der Erfassung, wenn sie in einer nicht vorbereiteten VM ausgeführt werden. Wenn Sie also VMs für Virentests verwenden, sollten Sie dies berücksichtigen.
Das beste Antivirenprogramm ist der gesunde Menschenverstand. Warum also nicht das lernen? einfache Möglichkeiten, um niemals einen Virus zu bekommen 10 einfache Möglichkeiten, niemals einen Virus zu bekommenMit ein wenig Grundausbildung können Sie das Problem von Viren und Malware auf Ihren Computern und Mobilgeräten vollständig vermeiden. Jetzt können Sie sich beruhigen und das Internet genießen! Weiterlesen ?
Offenlegung von Partnern: Durch den Kauf der von uns empfohlenen Produkte tragen Sie dazu bei, die Website am Leben zu erhalten. Weiterlesen.
Ein BSc-Absolvent der Informatik mit einer tiefen Leidenschaft für alles, was mit Sicherheit zu tun hat. Nachdem er für ein Indie-Game-Studio gearbeitet hatte, fand er seine Leidenschaft für das Schreiben und beschloss, seine Fähigkeiten zu nutzen, um über alle technischen Dinge zu schreiben.