Per anni gli sviluppatori di malware e gli esperti di sicurezza informatica hanno avuto scontri tesi. Recentemente, la comunità di sviluppo del malware ha implementato una nuova strategia per evitare il rilevamento: controllare la risoluzione dello schermo.
Esploriamo perché la risoluzione dello schermo è importante per il malware e cosa significa per te.
Perché il malware si preoccupa della risoluzione dello schermo?
Per capire perché il malware si preoccupa della risoluzione dello schermo, consideriamo una delle nemesi del malware: le macchine virtuali .
Le macchine virtuali sono uno strumento utile per i ricercatori di virus. Funzionano come un computer all'interno di un altro, quindi puoi utilizzare un sistema operativo diverso senza bisogno di un nuovo PC.
Ad esempio, se disponi di un computer Windows 10 ma desideri utilizzare Linux, puoi configurare una macchina virtuale all'interno di Windows 10 per eseguire Linux. Funzionerà come un computer Linux ma verrà eseguito in una finestra su Windows 10.
Le macchine virtuali sono molto utili per i ricercatori di virus perché agiscono come una trappola per mosche digitale. Se un ricercatore ritiene che un programma o un file contenga un virus, può testarlo eseguendolo in una macchina virtuale.
Se il file contiene un virus, inizierà a infettare la macchina virtuale. Poiché una macchina virtuale è configurata in modo da assomigliare a una macchina reale, il virus ritiene di aver infettato un PC reale e non una macchina virtuale. In quanto tale, inizia a fornire il suo carico utile e a causare danni alla macchina virtuale. Fortunatamente, il virus non può arrecare alcun danno al computer principale. Interessa solo le macchine virtuali.
Una volta che il virus viene esposto, i ricercatori possono scoprire come funziona e quindi ripristinare la macchina virtuale. Successivamente, hanno preso ciò che hanno imparato dalla macchina virtuale e lo hanno utilizzato per creare definizioni dei virus per proteggere gli utenti sui computer reali. Per questo motivo, le macchine virtuali sono ostili agli sviluppatori di malware.
Che ruolo gioca la risoluzione dello schermo in questo?
C'è un difetto in questo metodo di test dell'applicazione. Quando i ricercatori di malware creano una macchina virtuale, non si preoccupano davvero di tutte le funzionalità extra. Tutto ciò di cui hanno bisogno per testare i virus è una macchina virtuale che si comporti come un normale computer, tutto il resto è solo facoltativo.
Di conseguenza, i ricercatori a volte non installano il software ospite della VM. Questo software abilitava funzionalità aggiuntive come una risoluzione dello schermo più elevata, di cui il ricercatore non aveva realmente bisogno. Se l'utente non utilizza il software client, la VM in genere blocca l'utente in una delle due risoluzioni basse: 800x600 e 1024x768.
Queste due risoluzioni sono molto importanti per uno sviluppatore di malware. I computer e i laptop moderni spesso non sono dotati di schermi con quella risoluzione. Quella dimensione è molto obsoleta.
Risoluzioni dei dispositivi più diffusi
In che modo il malware utilizza questi dati per evitare le macchine virtuali?
Pertanto, quando il malware appare su un computer host e si nota che viene eseguito con una risoluzione di 800×600 o 1024×768, significa che probabilmente il malware è in esecuzione su hardware molto obsoleto o potenzialmente in grado di monitorare le funzionalità di una macchina virtuale. .
Se il virus opera in queste condizioni, verrà esposto. Pertanto, per proteggerti, il malware si risolverà da solo e non causerà danni.
Dal punto di vista del ricercatore, il programma funzionava e non infettava il PC, quindi non si trattava di un virus. Potrebbero quindi formulare false supposizioni sul programma, consentendo al malware di viaggiare ulteriormente prima di essere rilevato.
Esempio di malware che testa la risoluzione nel mondo reale
Trickbot è un ottimo esempio di questa tattica in azione. I ricercatori sono recentemente riusciti a entrare in una riga di codice TrickBot e ad analizzarne il funzionamento. Un utente Twitter di nome Mak (@maciekkotowicz) ha trovato un codice in TrickBot che esegue la scansione con una risoluzione di 800×600 o 1024×768.
Il codice in TrickBot esegue la scansione con una risoluzione di 800×600 o 1024×768
In questo codice, il virus prende i valori X e Y della risoluzione del computer, quindi li combina per vedere il risultato. Se il risultato è 800×600 o 1024×768, il codice restituirà 0. Ciò indica malware in esecuzione in una macchina virtuale.
Una volta che il malware sa di trovarsi in una macchina virtuale, si autodistrugge per evitare il rilevamento. Di conseguenza, chiunque controlli la presenza di virus in una macchina virtuale la considererà sicura.
Cosa significa per te questa strategia?
Naturalmente, questo significa che se utilizzi la risoluzione 1024x768 o 800x600, sarai protetto da alcuni tipi di malware. Non appena raggiungono il sistema, noteranno la tua risoluzione e si autodistruggeranno prima di causare danni. Tuttavia, per ottenere questa protezione, dovrai utilizzare un computer con una risoluzione molto piccola!
Pertanto, il modo migliore per combattere questo nuovo tipo di malware è aggiornare il software antivirus . Ora questo trucco anti-VM è di dominio pubblico, quindi è altamente improbabile che le società di sicurezza di fascia alta si facciano ingannare di nuovo.
Ciò è particolarmente importante da tenere presente, tuttavia, se tendi a controllare i file nelle tue macchine virtuali. Se la tua macchina virtuale funziona a 800×600 o 1024×768, potrebbe valere la pena impostarla sulla risoluzione più comune. In caso contrario, è impossibile essere sicuri che nel file che si sta controllando sia installata questa precauzione anti-VM.