През годините разработчиците на зловреден софтуер и специалистите по киберсигурност са във война, опитвайки се да се изправят един срещу друг. Наскоро общността на програмисти за злонамерен софтуер внедри нова стратегия за откриване на избягване: проверка на разделителната способност на екрана.
Нека да проучим защо разделителната способност на екрана има значение за зловредния софтуер и какво означава това за вас.
Защо злонамерен софтуер се грижи за разделителната способност на екрана
За да разберем защо зловредният софтуер се интересува от разделителната способност на екрана, трябва да разгледаме един от най-лошите му врагове; на виртуална машина Какво е виртуална машина? Всичко, което трябва да знаетеВиртуалните машини ви позволяват да стартирате други операционни системи на вашия текущ компютър. Ето какво трябва да знаете за тях. Прочетете още .
Виртуалните машини са полезен инструмент за изследователите на вируси. Те действат като „компютър вътре в компютъра“, така че можете да използвате друга операционна система, без да се нуждаете от нов компютър.
Например, ако имате компютър с Windows 10, но искате да използвате Linux, можете да настроите виртуална машина вътре в Windows 10, за да стартирате Linux. Той ще действа точно като машина с Linux, но работи в прозорец в Windows 10.
Виртуалните машини са много полезни за изследователите на вируси, тъй като те действат като капана за дигитална муха на венера. Ако изследовател вярва, че програма или файл съдържа вирус, те могат да го тестват, като го стартират във виртуална машина.
Ако файлът съдържа вирус, той ще започне да заразява виртуалната машина. Тъй като виртуалната машина е настроена като истинска, вирусът вярва, че заразява истински компютър, а не виртуален. Като такъв, той започва да доставя полезния си товар и нанася щети на виртуалната машина. За щастие никоя от вредите, които вирусът не пренася на основния компютър; тя засяга само виртуалната.
След като вирусът е дал играта, изследователят може да проучи как работи, след това да нулира виртуалната машина. След това те вземат наученото от виртуалната машина и го използват за създаване на дефиниции за вируси, за да защитят истинските компютри на хората.
Поради това виртуалните машини са основата на разработчиците на зловреден софтуер. Ако някой подозира, че дадена програма съдържа зловреден софтуер, може да я зарежда във виртуална машина и да я изтрие, ако е лошо.
Къде влиза резолюцията на екрана?
Има един недостатък при този метод за тестване на приложения. Когато изследовател на зловреден софтуер създава виртуална машина, те всъщност не се интересуват от всички допълнителни функции. Всичко, което трябва да тестват за вируси, е виртуална машина, която действа като нормален компютър - всичко останало не е задължително.
В резултат на това изследователите понякога не инсталират гост софтуера на виртуалната машина. Този софтуер дава възможност за допълнителни функции като по-висока разделителна способност на екрана, от които изследователят наистина не се нуждае. Ако потребителят не използва гост софтуера, VM обикновено заключва потребителя в една от две ниски разделителни способности: 800 × 600 и 1024 × 768.
Тези две резолюции са важни за разработчика на зловреден софтуер. Съвременните компютри и лаптопи обикновено не се предлагат с екрани с тази разделителна способност; много е остарял
Всъщност можете да видите колко е остарял Statcounter, която събира информация за най-използваните резолюции. По време на писането резолюциите обикновено са или по-големи или по-малки от горните примери за VM.
От едната страна на спектъра имате стандартната резолюция 1366 × 768 за лаптопи и 1920 × 1080 за компютърни монитори. От другата страна, ще намерите малки 360 × 640 екрани в употреба - това са смартфони.
800 × 600 и 1024 × 768 изобщо не се появяват. Реверсът на последния, 768 × 1024, съществува; това е iPad резолюция. Въпреки това дори това заема само 2,6 процента, което означава, че 97,4 процента от устройствата използват различни резолюции.
Как злонамерен софтуер използва тези данни, за да избегне виртуалните машини
Като такъв, когато злонамерен софтуер кацне на хост компютър и забележи, че той работи или с 800 × 600 или 1024 × 768, това е или на много остарял хардуер или - по-вероятно - те се наблюдават във виртуален машина.
Ако вирусът работи при това условие, той ще даде играта под очите на изследовател на вируси. Като такъв, за да защити своите тайни, злонамереният софтуер вместо това се самоустановява и не нанася щети.
От гледна точка на изследователя, програмата работи и не зарази компютъра, така че трябва да бъде доброкачествена. След това те могат да присвоят фалшив отрицателен отчет за програмата, позволявайки на зловредния софтуер да пътува по-далеч, преди да бъде окончателно хванат.
Примери за проверка на разделителна способност в реалния свят
Trickbot е отличен пример за тази тактика в природата. Изследователите успяха да проникнат в скорошно напрежение на кода на TrickBot и анализираха как работи. Един потребител на Twitter, известен като Мак (@maciekkotowicz), намери парче код в TrickBot, който сканира за резолюция 800 × 600 или 1024 × 768.
Днешните #Trickbot товарачи с резолюция на екрана #antivm трик, ако имате резолюция 800 × 600 или 1024 × 768 - вие сте в безопасност! ;] куб.см. @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 юни 2020 г.
В този отрязък от кодове, вирусът хваща стойностите X и Y на резолюцията на компютъра, след което ги комбинира, за да види резултата. Ако резултатът е равен или 800 × 600 или 1024 × 768, кодът връща числото 0. Това казва на зловредния софтуер, че се изпълнява във VM.
След като злонамереният софтуер знае, че е във виртуална машина, той се самоунищожава, за да избегне откриването. В резултат на това всеки, който проверява за вируси във виртуална машина, ще го счете неправилно.
Какво означава тази тактика за вас
Разбира се, това означава, че ако сте използвали разделителна способност 1024 × 768 или 800 × 600, ще имате защита от някои щамове от зловреден софтуер. Веднага щом пристигнат, те ще отбележат вашата резолюция и ще се самодетонизират, преди да нанесат щети. Обаче, каквото спечелите в защита, ще загубите здравината си, като използвате компютър с такава тесна резолюция!
Като такъв, най-добрият ви залог да се преборите с този нов щам злонамерен софтуер е да актуализирате своя антивирус. Сега, когато този трик против VM е обществено познание, е малко вероятно компаниите от висок клас да бъдат заблудени отново.
Това обаче е важно да се отбележи, ако имате склонност да тествате файлове в собствените ви виртуални машини. Ако вашият VM работи с 800 × 600 или 1024 × 768, струва си да го настроите на по-популярна разделителна способност. Ако не го направите, не можете да бъдете сигурни дали във файла, който тествате, е инсталирано това анти-VM предпазно средство.
Да сте в безопасност от подли вируси
С киберсигурността се превръща в огромната индустрия, каквато е, разработчиците на зловреден софтуер трябва да се адаптират, за да останат една крачка напред. Новите щамове на злонамерен софтуер ще избегнат улавянето, ако се пускат в неподготвена VM, така че ако използвате виртуални машини за тестване на вируси, не забравяйте да имате това предвид.
Най-добрият антивирус е здравият разум, така че защо да не научите лесни начини никога да не получите вирус 10 лесни начина да не получите никога вирусС малко основно обучение можете напълно да избегнете проблема с вирусите и зловредния софтуер на вашите компютри и мобилни устройства. Сега можете да се успокоите и да се насладите на интернет! Прочетете още ?
Разкриване на филиал: Купувайки продуктите, които препоръчваме, вие помагате да поддържате сайта жив. Прочетете още.
Завършил бакалавър по компютърни науки с дълбока страст към сигурността на всички неща. След като работи за студио за игра на инди, той открива страстта си към писането и решава да използва своя набор от умения, за да пише за всичко, което е технологично.
