In che modo il malware sfrutta la risoluzione dello schermo per evitare il rilevamento

In che modo il malware sfrutta la risoluzione dello schermo per evitare il rilevamento

Per anni gli sviluppatori di malware e gli esperti di sicurezza informatica hanno avuto scontri tesi. Recentemente, la comunità di sviluppo del malware ha implementato una nuova strategia per evitare il rilevamento: controllare la risoluzione dello schermo.

Esploriamo perché la risoluzione dello schermo è importante per il malware e cosa significa per te.

Perché il malware si preoccupa della risoluzione dello schermo?

Per capire perché il malware si preoccupa della risoluzione dello schermo, consideriamo una delle nemesi del malware: le macchine virtuali .

Le macchine virtuali sono uno strumento utile per i ricercatori di virus. Funzionano come un computer all'interno di un altro, quindi puoi utilizzare un sistema operativo diverso senza bisogno di un nuovo PC.

Ad esempio, se disponi di un computer Windows 10 ma desideri utilizzare Linux, puoi configurare una macchina virtuale all'interno di Windows 10 per eseguire Linux. Funzionerà come un computer Linux ma verrà eseguito in una finestra su Windows 10.

Le macchine virtuali sono molto utili per i ricercatori di virus perché agiscono come una trappola per mosche digitale. Se un ricercatore ritiene che un programma o un file contenga un virus, può testarlo eseguendolo in una macchina virtuale.

Se il file contiene un virus, inizierà a infettare la macchina virtuale. Poiché una macchina virtuale è configurata in modo da assomigliare a una macchina reale, il virus ritiene di aver infettato un PC reale e non una macchina virtuale. In quanto tale, inizia a fornire il suo carico utile e a causare danni alla macchina virtuale. Fortunatamente, il virus non può arrecare alcun danno al computer principale. Interessa solo le macchine virtuali.

Una volta che il virus viene esposto, i ricercatori possono scoprire come funziona e quindi ripristinare la macchina virtuale. Successivamente, hanno preso ciò che hanno imparato dalla macchina virtuale e lo hanno utilizzato per creare definizioni dei virus per proteggere gli utenti sui computer reali. Per questo motivo, le macchine virtuali sono ostili agli sviluppatori di malware.

Che ruolo gioca la risoluzione dello schermo in questo?

C'è un difetto in questo metodo di test dell'applicazione. Quando i ricercatori di malware creano una macchina virtuale, non si preoccupano davvero di tutte le funzionalità extra. Tutto ciò di cui hanno bisogno per testare i virus è una macchina virtuale che si comporti come un normale computer, tutto il resto è solo facoltativo.

Di conseguenza, i ricercatori a volte non installano il software ospite della VM. Questo software abilitava funzionalità aggiuntive come una risoluzione dello schermo più elevata, di cui il ricercatore non aveva realmente bisogno. Se l'utente non utilizza il software client, la VM in genere blocca l'utente in una delle due risoluzioni basse: 800x600 e 1024x768.

Queste due risoluzioni sono molto importanti per uno sviluppatore di malware. I computer e i laptop moderni spesso non sono dotati di schermi con quella risoluzione. Quella dimensione è molto obsoleta.

Risoluzioni dei dispositivi più diffusi

In che modo il malware utilizza questi dati per evitare le macchine virtuali?

Pertanto, quando il malware appare su un computer host e si nota che viene eseguito con una risoluzione di 800×600 o 1024×768, significa che probabilmente il malware è in esecuzione su hardware molto obsoleto o potenzialmente in grado di monitorare le funzionalità di una macchina virtuale. .

Se il virus opera in queste condizioni, verrà esposto. Pertanto, per proteggerti, il malware si risolverà da solo e non causerà danni.

Dal punto di vista del ricercatore, il programma funzionava e non infettava il PC, quindi non si trattava di un virus. Potrebbero quindi formulare false supposizioni sul programma, consentendo al malware di viaggiare ulteriormente prima di essere rilevato.

Esempio di malware che testa la risoluzione nel mondo reale

Trickbot è un ottimo esempio di questa tattica in azione. I ricercatori sono recentemente riusciti a entrare in una riga di codice TrickBot e ad analizzarne il funzionamento. Un utente Twitter di nome Mak (@maciekkotowicz) ha trovato un codice in TrickBot che esegue la scansione con una risoluzione di 800×600 o 1024×768.

In che modo il malware sfrutta la risoluzione dello schermo per evitare il rilevamento

Il codice in TrickBot esegue la scansione con una risoluzione di 800×600 o 1024×768

In questo codice, il virus prende i valori X e Y della risoluzione del computer, quindi li combina per vedere il risultato. Se il risultato è 800×600 o 1024×768, il codice restituirà 0. Ciò indica malware in esecuzione in una macchina virtuale.

Una volta che il malware sa di trovarsi in una macchina virtuale, si autodistrugge per evitare il rilevamento. Di conseguenza, chiunque controlli la presenza di virus in una macchina virtuale la considererà sicura.

Cosa significa per te questa strategia?

Naturalmente, questo significa che se utilizzi la risoluzione 1024x768 o 800x600, sarai protetto da alcuni tipi di malware. Non appena raggiungono il sistema, noteranno la tua risoluzione e si autodistruggeranno prima di causare danni. Tuttavia, per ottenere questa protezione, dovrai utilizzare un computer con una risoluzione molto piccola!

Pertanto, il modo migliore per combattere questo nuovo tipo di malware è aggiornare il software antivirus . Ora questo trucco anti-VM è di dominio pubblico, quindi è altamente improbabile che le società di sicurezza di fascia alta si facciano ingannare di nuovo.

Ciò è particolarmente importante da tenere presente, tuttavia, se tendi a controllare i file nelle tue macchine virtuali. Se la tua macchina virtuale funziona a 800×600 o 1024×768, potrebbe valere la pena impostarla sulla risoluzione più comune. In caso contrario, è impossibile essere sicuri che nel file che si sta controllando sia installata questa precauzione anti-VM.


Come proteggere i dispositivi dallattacco ZombieLoad?

Come proteggere i dispositivi dallattacco ZombieLoad?

Recentemente è stata rilevata una nuova vulnerabilità sui chip dei processori Intel chiamata ZombieLoad, preoccupando gli utenti. Se stai cercando un modo per proteggere i tuoi dispositivi, sei nel posto giusto.

Come aggiungere testo e immagini alla cronologia degli appunti di Windows 10

Come aggiungere testo e immagini alla cronologia degli appunti di Windows 10

Windows 10 rende più conveniente copiare e incollare con una funzionalità chiamata Cronologia degli Appunti. Ti consente di appuntare gli elementi che copi e incolli frequentemente in un elenco per un accesso rapido. Ecco come utilizzare questa funzionalità.

Come abilitare la modalità AHCI in Windows 10

Come abilitare la modalità AHCI in Windows 10

L'unico problema con l'utilizzo della modalità AHCI è che non può essere modificata dopo l'installazione di Windows, quindi è necessario impostare la modalità AHCI nel BIOS prima di installare Windows. Fortunatamente, c’è una soluzione per questo.

Come utilizzare Bitdefender Adware Removal Tool per rimuovere adware su Windows

Come utilizzare Bitdefender Adware Removal Tool per rimuovere adware su Windows

Bitdefender Adware Removal Tool è uno strumento di sicurezza del sistema da adware dannoso che minaccia le informazioni personali sul tuo computer.

Differenza tra Wi-Fi a 2,4 GHz e 5 GHz

Differenza tra Wi-Fi a 2,4 GHz e 5 GHz

Hai appena deciso di sostituire il tuo vecchio router. Quando apri la confezione del tuo nuovo router wireless, potresti chiederti perché esistono due reti, 2,4 GHz e 5 GHz. Quindi la rete a 5GHz è più potente? Qual'è la differenza tra loro?

Istruzioni per la configurazione e la gestione del server FTP su Windows 10

Istruzioni per la configurazione e la gestione del server FTP su Windows 10

Se desideri creare un cloud privato per condividere e convertire file ad alto volume senza limiti, puoi creare un server FTP (File Transfer Protocol Server) sul tuo computer Windows 10.

SQL Server 2017 su Linux aiuta ad aumentare la produttività delle aziende

SQL Server 2017 su Linux aiuta ad aumentare la produttività delle aziende

La società finanziaria dv01 ha sfruttato le funzionalità SQL, trasformando i suoi esperti Linux in primi ad adottare SQL Server 2017.

Come utilizzare Trend Cleaner per pulire Windows 10

Come utilizzare Trend Cleaner per pulire Windows 10

Trend Cleaner è un'applicazione per eliminare i file spazzatura e pulire Windows 10 per velocizzare il sistema.

Raccolta di oltre 40 sfondi Thanos ad alta risoluzione per computer

Raccolta di oltre 40 sfondi Thanos ad alta risoluzione per computer

Il set di sfondi Thanos in questo articolo sarà disponibile in tutte le risoluzioni per tutti i computer e laptop

Come installare Android in parallelo con Windows utilizzando Remix OS

Come installare Android in parallelo con Windows utilizzando Remix OS

Il produttore Jide ha aggiornato Remix OS 3.0 Dual Boot per supportare le piattaforme Windows a 32 e 64 bit, consentendoti di installare Android in parallelo con Windows.