Per anni gli sviluppatori di malware e gli esperti di sicurezza informatica hanno avuto scontri tesi. Recentemente, la comunità di sviluppo del malware ha implementato una nuova strategia per evitare il rilevamento: controllare la risoluzione dello schermo.
Esploriamo perché la risoluzione dello schermo è importante per il malware e cosa significa per te.
Perché il malware si preoccupa della risoluzione dello schermo?
Per capire perché il malware si preoccupa della risoluzione dello schermo, consideriamo una delle nemesi del malware: le macchine virtuali .
Le macchine virtuali sono uno strumento utile per i ricercatori di virus. Funzionano come un computer all'interno di un altro, quindi puoi utilizzare un sistema operativo diverso senza bisogno di un nuovo PC.
Ad esempio, se disponi di un computer Windows 10 ma desideri utilizzare Linux, puoi configurare una macchina virtuale all'interno di Windows 10 per eseguire Linux. Funzionerà come un computer Linux ma verrà eseguito in una finestra su Windows 10.
Le macchine virtuali sono molto utili per i ricercatori di virus perché agiscono come una trappola per mosche digitale. Se un ricercatore ritiene che un programma o un file contenga un virus, può testarlo eseguendolo in una macchina virtuale.
Se il file contiene un virus, inizierà a infettare la macchina virtuale. Poiché una macchina virtuale è configurata in modo da assomigliare a una macchina reale, il virus ritiene di aver infettato un PC reale e non una macchina virtuale. In quanto tale, inizia a fornire il suo carico utile e a causare danni alla macchina virtuale. Fortunatamente, il virus non può arrecare alcun danno al computer principale. Interessa solo le macchine virtuali.
Una volta che il virus viene esposto, i ricercatori possono scoprire come funziona e quindi ripristinare la macchina virtuale. Successivamente, hanno preso ciò che hanno imparato dalla macchina virtuale e lo hanno utilizzato per creare definizioni dei virus per proteggere gli utenti sui computer reali. Per questo motivo, le macchine virtuali sono ostili agli sviluppatori di malware.
Che ruolo gioca la risoluzione dello schermo in questo?
C'è un difetto in questo metodo di test dell'applicazione. Quando i ricercatori di malware creano una macchina virtuale, non si preoccupano davvero di tutte le funzionalità extra. Tutto ciò di cui hanno bisogno per testare i virus è una macchina virtuale che si comporti come un normale computer, tutto il resto è solo facoltativo.
Di conseguenza, i ricercatori a volte non installano il software ospite della VM. Questo software abilitava funzionalità aggiuntive come una risoluzione dello schermo più elevata, di cui il ricercatore non aveva realmente bisogno. Se l'utente non utilizza il software client, la VM in genere blocca l'utente in una delle due risoluzioni basse: 800x600 e 1024x768.
Queste due risoluzioni sono molto importanti per uno sviluppatore di malware. I computer e i laptop moderni spesso non sono dotati di schermi con quella risoluzione. Quella dimensione è molto obsoleta.
Risoluzioni dei dispositivi più diffusi
In che modo il malware utilizza questi dati per evitare le macchine virtuali?
Pertanto, quando il malware appare su un computer host e si nota che viene eseguito con una risoluzione di 800×600 o 1024×768, significa che probabilmente il malware è in esecuzione su hardware molto obsoleto o potenzialmente in grado di monitorare le funzionalità di una macchina virtuale. .
Se il virus opera in queste condizioni, verrà esposto. Pertanto, per proteggerti, il malware si risolverà da solo e non causerà danni.
Dal punto di vista del ricercatore, il programma funzionava e non infettava il PC, quindi non si trattava di un virus. Potrebbero quindi formulare false supposizioni sul programma, consentendo al malware di viaggiare ulteriormente prima di essere rilevato.
Esempio di malware che testa la risoluzione nel mondo reale
Trickbot è un ottimo esempio di questa tattica in azione. I ricercatori sono recentemente riusciti a entrare in una riga di codice TrickBot e ad analizzarne il funzionamento. Un utente Twitter di nome Mak (@maciekkotowicz) ha trovato un codice in TrickBot che esegue la scansione con una risoluzione di 800×600 o 1024×768.
Il codice in TrickBot esegue la scansione con una risoluzione di 800×600 o 1024×768
In questo codice, il virus prende i valori X e Y della risoluzione del computer, quindi li combina per vedere il risultato. Se il risultato è 800×600 o 1024×768, il codice restituirà 0. Ciò indica malware in esecuzione in una macchina virtuale.
Una volta che il malware sa di trovarsi in una macchina virtuale, si autodistrugge per evitare il rilevamento. Di conseguenza, chiunque controlli la presenza di virus in una macchina virtuale la considererà sicura.
Cosa significa per te questa strategia?
Naturalmente, questo significa che se utilizzi la risoluzione 1024x768 o 800x600, sarai protetto da alcuni tipi di malware. Non appena raggiungono il sistema, noteranno la tua risoluzione e si autodistruggeranno prima di causare danni. Tuttavia, per ottenere questa protezione, dovrai utilizzare un computer con una risoluzione molto piccola!
Pertanto, il modo migliore per combattere questo nuovo tipo di malware è aggiornare il software antivirus . Ora questo trucco anti-VM è di dominio pubblico, quindi è altamente improbabile che le società di sicurezza di fascia alta si facciano ingannare di nuovo.
Ciò è particolarmente importante da tenere presente, tuttavia, se tendi a controllare i file nelle tue macchine virtuali. Se la tua macchina virtuale funziona a 800×600 o 1024×768, potrebbe valere la pena impostarla sulla risoluzione più comune. In caso contrario, è impossibile essere sicuri che nel file che si sta controllando sia installata questa precauzione anti-VM.
Vedi una notifica di attivazione di Windows 10 nell'angolo destro dello schermo? Questo articolo ti guiderà come eliminare l'avviso di richiesta di copyright su Windows 10.
Recentemente Microsoft ha rilasciato l'ultimo aggiornamento cumulativo per gli utenti di PC Windows 10 chiamato Build 14393.222. Questo aggiornamento rilasciato per Windows 10 corregge principalmente i bug in base al feedback degli utenti e migliora l'esperienza delle prestazioni del sistema operativo.
Hai computer sulla tua rete locale che necessitano di accesso esterno? Utilizzare un bastion host come gatekeeper per la tua rete può essere una buona soluzione.
Se preferisci utilizzare una vecchia tastiera classica, come l'IBM Model M, che non include un tasto Windows fisico, esiste un metodo semplice per aggiungerne altro, prendendo in prestito un tasto che non usi spesso. .
A volte potrebbe essere necessario eliminare i vecchi registri eventi tutti in una volta. In questa guida, Quantrimang.com ti mostrerà 3 modi per eliminare rapidamente tutti i registri eventi nel Visualizzatore eventi di Windows 10.
In molti articoli precedenti abbiamo menzionato che rimanere anonimi online è estremamente importante. Ogni anno vengono divulgate informazioni private, rendendo la sicurezza online sempre più necessaria. Questo è anche il motivo per cui dovremmo utilizzare indirizzi IP virtuali. Di seguito impareremo i metodi per creare IP falsi!
WindowTop è uno strumento che ha la capacità di oscurare tutte le finestre delle applicazioni e i programmi in esecuzione su computer Windows 10. Oppure puoi utilizzare un'interfaccia con sfondo scuro su Windows.
La barra della lingua su Windows 8 è una barra degli strumenti della lingua in miniatura progettata per essere visualizzata automaticamente sullo schermo del desktop. Tuttavia, molte persone desiderano nascondere questa barra della lingua sulla barra delle applicazioni.
La connettività wireless è oggi una necessità e per questo motivo la sicurezza wireless è essenziale per garantire la sicurezza della rete interna.
Massimizzare la velocità di Internet è essenziale per ottimizzare la connessione di rete. Puoi vivere un'esperienza di intrattenimento e di lavoro ottimale utilizzando computer, TV predisposte per Internet, console di gioco, ecc.
