In che modo il malware sfrutta la risoluzione dello schermo per evitare il rilevamento

In che modo il malware sfrutta la risoluzione dello schermo per evitare il rilevamento

Per anni gli sviluppatori di malware e gli esperti di sicurezza informatica hanno avuto scontri tesi. Recentemente, la comunità di sviluppo del malware ha implementato una nuova strategia per evitare il rilevamento: controllare la risoluzione dello schermo.

Esploriamo perché la risoluzione dello schermo è importante per il malware e cosa significa per te.

Perché il malware si preoccupa della risoluzione dello schermo?

Per capire perché il malware si preoccupa della risoluzione dello schermo, consideriamo una delle nemesi del malware: le macchine virtuali .

Le macchine virtuali sono uno strumento utile per i ricercatori di virus. Funzionano come un computer all'interno di un altro, quindi puoi utilizzare un sistema operativo diverso senza bisogno di un nuovo PC.

Ad esempio, se disponi di un computer Windows 10 ma desideri utilizzare Linux, puoi configurare una macchina virtuale all'interno di Windows 10 per eseguire Linux. Funzionerà come un computer Linux ma verrà eseguito in una finestra su Windows 10.

Le macchine virtuali sono molto utili per i ricercatori di virus perché agiscono come una trappola per mosche digitale. Se un ricercatore ritiene che un programma o un file contenga un virus, può testarlo eseguendolo in una macchina virtuale.

Se il file contiene un virus, inizierà a infettare la macchina virtuale. Poiché una macchina virtuale è configurata in modo da assomigliare a una macchina reale, il virus ritiene di aver infettato un PC reale e non una macchina virtuale. In quanto tale, inizia a fornire il suo carico utile e a causare danni alla macchina virtuale. Fortunatamente, il virus non può arrecare alcun danno al computer principale. Interessa solo le macchine virtuali.

Una volta che il virus viene esposto, i ricercatori possono scoprire come funziona e quindi ripristinare la macchina virtuale. Successivamente, hanno preso ciò che hanno imparato dalla macchina virtuale e lo hanno utilizzato per creare definizioni dei virus per proteggere gli utenti sui computer reali. Per questo motivo, le macchine virtuali sono ostili agli sviluppatori di malware.

Che ruolo gioca la risoluzione dello schermo in questo?

C'è un difetto in questo metodo di test dell'applicazione. Quando i ricercatori di malware creano una macchina virtuale, non si preoccupano davvero di tutte le funzionalità extra. Tutto ciò di cui hanno bisogno per testare i virus è una macchina virtuale che si comporti come un normale computer, tutto il resto è solo facoltativo.

Di conseguenza, i ricercatori a volte non installano il software ospite della VM. Questo software abilitava funzionalità aggiuntive come una risoluzione dello schermo più elevata, di cui il ricercatore non aveva realmente bisogno. Se l'utente non utilizza il software client, la VM in genere blocca l'utente in una delle due risoluzioni basse: 800x600 e 1024x768.

Queste due risoluzioni sono molto importanti per uno sviluppatore di malware. I computer e i laptop moderni spesso non sono dotati di schermi con quella risoluzione. Quella dimensione è molto obsoleta.

Risoluzioni dei dispositivi più diffusi

In che modo il malware utilizza questi dati per evitare le macchine virtuali?

Pertanto, quando il malware appare su un computer host e si nota che viene eseguito con una risoluzione di 800×600 o 1024×768, significa che probabilmente il malware è in esecuzione su hardware molto obsoleto o potenzialmente in grado di monitorare le funzionalità di una macchina virtuale. .

Se il virus opera in queste condizioni, verrà esposto. Pertanto, per proteggerti, il malware si risolverà da solo e non causerà danni.

Dal punto di vista del ricercatore, il programma funzionava e non infettava il PC, quindi non si trattava di un virus. Potrebbero quindi formulare false supposizioni sul programma, consentendo al malware di viaggiare ulteriormente prima di essere rilevato.

Esempio di malware che testa la risoluzione nel mondo reale

Trickbot è un ottimo esempio di questa tattica in azione. I ricercatori sono recentemente riusciti a entrare in una riga di codice TrickBot e ad analizzarne il funzionamento. Un utente Twitter di nome Mak (@maciekkotowicz) ha trovato un codice in TrickBot che esegue la scansione con una risoluzione di 800×600 o 1024×768.

In che modo il malware sfrutta la risoluzione dello schermo per evitare il rilevamento

Il codice in TrickBot esegue la scansione con una risoluzione di 800×600 o 1024×768

In questo codice, il virus prende i valori X e Y della risoluzione del computer, quindi li combina per vedere il risultato. Se il risultato è 800×600 o 1024×768, il codice restituirà 0. Ciò indica malware in esecuzione in una macchina virtuale.

Una volta che il malware sa di trovarsi in una macchina virtuale, si autodistrugge per evitare il rilevamento. Di conseguenza, chiunque controlli la presenza di virus in una macchina virtuale la considererà sicura.

Cosa significa per te questa strategia?

Naturalmente, questo significa che se utilizzi la risoluzione 1024x768 o 800x600, sarai protetto da alcuni tipi di malware. Non appena raggiungono il sistema, noteranno la tua risoluzione e si autodistruggeranno prima di causare danni. Tuttavia, per ottenere questa protezione, dovrai utilizzare un computer con una risoluzione molto piccola!

Pertanto, il modo migliore per combattere questo nuovo tipo di malware è aggiornare il software antivirus . Ora questo trucco anti-VM è di dominio pubblico, quindi è altamente improbabile che le società di sicurezza di fascia alta si facciano ingannare di nuovo.

Ciò è particolarmente importante da tenere presente, tuttavia, se tendi a controllare i file nelle tue macchine virtuali. Se la tua macchina virtuale funziona a 800×600 o 1024×768, potrebbe valere la pena impostarla sulla risoluzione più comune. In caso contrario, è impossibile essere sicuri che nel file che si sta controllando sia installata questa precauzione anti-VM.


Questo è il motivo per cui il tuo computer diventa sempre più lento

Questo è il motivo per cui il tuo computer diventa sempre più lento

La cache è costituita dai dati delle sessioni precedenti di applicazioni e programmi che il sistema operativo salva per consentire di scaricare più rapidamente i dati nelle sessioni successive. Tuttavia, dopo un lungo periodo senza pulizia, la cache riempirà il disco rigido e occuperà tutto lo spazio sul disco rigido.

Come vedere cosa occupa molto spazio di archiviazione su Windows 10

Come vedere cosa occupa molto spazio di archiviazione su Windows 10

In questo articolo, Quantrimang ti guiderà come vedere quali tipi di file occupano molto spazio di archiviazione sul tuo computer Windows 10.

Come rimuovere completamente Yahoo Toolbar e ricerca. yahoo. com?

Come rimuovere completamente Yahoo Toolbar e ricerca. yahoo. com?

Yahoo Search è un motore di ricerca legittimo. Tuttavia, è anche considerato un browser hijacker, che reindirizza gli utenti alla ricerca. yahoo. com. Questo browser hijacker prenderà il controllo della home page del browser Web e delle impostazioni del motore di ricerca per visualizzare la home page e il motore di ricerca di Yahoo Search invece della home page e del motore di ricerca precedentemente impostati.

Informazioni sulla funzionalità Termina operazione in Windows

Informazioni sulla funzionalità Termina operazione in Windows

Termina operazione è una funzionalità di Task Manager di Microsoft Windows. Si trova nella scheda Applicazioni e consente agli utenti di chiudere qualsiasi programma che risponde o non risponde.

Windows + V: scorciatoia utile che molti utenti Windows non conoscono

Windows + V: scorciatoia utile che molti utenti Windows non conoscono

Come molte altre piattaforme, Windows dispone anche di un gestore di appunti specializzato chiamato "Cronologia degli appunti".

Come installare il widget macOS Big Sur/iOS 14 su Windows 10

Come installare il widget macOS Big Sur/iOS 14 su Windows 10

La versione macOS Big Sur è stata annunciata ufficialmente alla recente conferenza WWDC. E puoi portare completamente l'interfaccia di macOS Big Sur su Windows 10 con lo strumento Rainmeter.

Come proteggere il desktop remoto dal malware RDStealer

Come proteggere il desktop remoto dal malware RDStealer

RDStealer è un malware che tenta di rubare credenziali e dati infettando un server RDP e monitorandone le connessioni remote.

I 7 migliori software di gestione file per Windows per sostituire Esplora file

I 7 migliori software di gestione file per Windows per sostituire Esplora file

Forse è ora di dire addio a Esplora file e utilizzare software di gestione file di terze parti? Ecco le 7 migliori alternative a Esplora file di Windows.

Come funziona LoRaWAN? Perché è importante per l’IoT?

Come funziona LoRaWAN? Perché è importante per l’IoT?

LoRaWAN o Long Range Wireless Area Network è utile nella comunicazione tra dispositivi a basso consumo su lunghe distanze.

8 modi per aprire le Opzioni di avvio avanzate su Windows 10

8 modi per aprire le Opzioni di avvio avanzate su Windows 10

Navigando verso Opzioni di avvio avanzate, puoi reimpostare Windows 10, ripristinare Windows 10, ripristinare Windows 10 da un file immagine creato in precedenza, correggere errori di avvio, aprire il prompt dei comandi per eseguire opzioni, scegliere diverse, aprire le impostazioni UEFI, modificare le impostazioni di avvio.. ..