恶意软件如何使用屏幕分辨率来避免检测
多年来,恶意软件开发人员和网络安全专家一直在为彼此之间的关系而展开战争。最近,恶意软件开发人员社区部署了一种新的策略规避检测:检查屏幕分辨率。
让我们探讨一下为什么屏幕分辨率对恶意软件很重要,以及它对您意味着什么。
为什么恶意软件关心屏幕分辨率
为了找出恶意软件关心屏幕分辨率的原因,我们必须看看它最大的敌人之一:虚拟机。
虚拟机是病毒研究人员的有用工具。它们就像一台“电脑里的电脑”,所以你可以使用另一个操作系统而不需要新的电脑。
例如,如果您有一台windows10计算机,但是您想使用Linux,那么您可以在windows10中设置一个虚拟机来运行Linux。它就像一台Linux机器,但在windows10的窗口中运行。
虚拟机对病毒研究人员非常有用,因为它们充当了一个数字捕蝇器。如果研究人员认为某个程序或文件包含病毒,他们可以通过在虚拟机中运行来测试它。
如果文件包含病毒,它将开始感染虚拟机。因为虚拟机的设置和真实的一样,病毒认为它感染的是真实的电脑,而不是虚拟的电脑。因此,它开始传递有效负载并对虚拟机造成损害。幸运的是,病毒不会“携带”到主计算机;它只影响虚拟计算机。
一旦病毒泄露了游戏,研究人员可以研究它的工作原理,然后重置虚拟机。然后,他们从虚拟机上学到的知识,并用它来创建病毒定义,以保护人们的真实计算机。
因此,虚拟机是恶意软件开发者的祸根。如果有人怀疑某个程序包含恶意软件,他们可以在虚拟机中启动它,如果它不好,就把它清除掉。
屏幕分辨率从何而来?
这种测试应用程序的方法有一个缺陷。当恶意软件研究人员创建虚拟机时,他们并不是真的对所有的附加功能感兴趣。他们需要测试的只是一个虚拟机,它的行为就像一台普通的计算机——其他一切都是可选的。
因此,研究人员有时不安装虚拟机的客户软件。这个软件支持一些附加功能,比如更高的屏幕分辨率,而研究人员并不真正需要这些功能。如果用户不使用guest软件,VM通常会将用户锁定为两个低分辨率之一:800x600和1024x768。
这两种解决方案对恶意软件开发人员非常重要。现代的电脑和笔记本电脑一般都没有那种分辨率的屏幕,它已经过时了。
事实上,您可以在Statcounter上看到它是多么过时,Statcounter收集关于最常用的分辨率的信息。在撰写本文时,分辨率往往大于或小于上述VM示例。
另一方面,笔记本电脑的分辨率为1366x768,PC显示器的分辨率为1920x1080。在另一边,你会发现正在使用的360x640小屏幕——那是智能**。
800x600和1024x768根本不出现。后者的反面768x1024确实存在;这是iPad的分辨率。然而,即使这样也只占2.6%,这意味着97.4%的设备使用不同的分辨率。
恶意软件如何利用这些数据来避开虚拟机
因此,当恶意软件登陆到主机上,并注意到它运行在800x600或1024x768上时,它要么是在非常过时的硬件上,要么更可能是在虚拟机中被监视。
如果病毒在这种情况下运行,它会让游戏在病毒研究人员的眼皮底下消失。因此,为了保护自己的秘密,恶意软件反而自行终止,不会造成损害。
从研究者的角度来看,这个程序运行后没有感染电脑,所以它一定是良性的。然后,他们可能会为程序分配一个假阴性报告,让恶意软件在最终被抓获之前传播得更远。
现实世界中分辨率检查恶意软件的示例
魔术师是这种策略在野外的一个很好的例子。研究人员设法破解了最近的一种TrickBot代码,并分析了它的工作原理。一位名为Mak(@maciekkotowicz)的Twitter用户在TrickBot中发现了一段代码,可以扫描800x600或1024x768的分辨率。
在这段代码中,病毒获取计算机分辨率的X和Y值,然后将它们结合起来查看结果。如果结果等于800x600或1024x768,则代码返回数字0。这会告诉恶意软件它正在虚拟机中运行。
一旦恶意软件知道它在虚拟机中,它就会自毁以避免被发现。因此,任何在虚拟机中检查病毒的人都会错误地认为它是安全的。
这对你意味着什么
当然,这意味着如果您使用的是1024x768或800x600分辨率,您将可以免受某些恶意软件的攻击。一旦他们到达,他们会注意到你的决心,并在他们造成任何伤害前自行引爆。然而,你得到的保护,你会失去你的理智使用这样一个局促的决议电脑!
因此,你最好的办法来击退这种新的病毒株是更新你的杀毒软件。既然这种反虚拟机的伎俩已经公之于众,高端安全公司就不太可能再上当了。
但是,如果您有在自己的虚拟机中测试文件的倾向,则需要注意这一点。如果您的虚拟机运行的是800x600或1024x768,那么将其设置为更流行的分辨率是值得的。如果没有,则无法确定正在测试的文件是否安装了此反VM预防措施。
远离鬼祟的病毒
随着网络安全成为一个庞大的行业,恶意软件开发商必须适应,以保持领先一步。如果在未准备好的虚拟机中运行,新的恶意软件将无法捕获,因此如果您使用虚拟机进行病毒测试,请务必记住这一点。
最好的杀毒软件是常识,那么为什么不学习一下避免感染病毒的简单方法呢?
- 发表于 2021-03-30 18:26
- 阅读 ( 284 )
- 分类:互联网
你可能感兴趣的文章
安全软件(scareware)和勒索软件(ransomware)的区别
...件之间的关键区别在于,恐吓软件将下载用于窃取数据的恶意软件,而勒索软件用于加密和锁定你的数据,勒索金额是以比特币等货币要求的。骗子们使用一系列的伎俩,试图将互联网用户从辛苦挣来的现金和个人信息中分离开...
完整的恶意软件删除指南
如今恶意软件无处不在。你只需要在错误的咖啡馆打喷嚏,你就有恶意软件。好吧,也许没那么糟。但随着网络世界的扩大,感染的可能性也在增加。 ...
如何检查你是否窝藏了pinkslipbot恶意软件
时不时会出现一种新的恶意软件变种,迅速提醒人们安全风险总是在上升。QakBot/Pinkslipbot银行特洛伊木马就是其中之一。这种不满足于获取银行凭证的恶意软件现在可以作为控制服务器——在安全产品停止其最初用途很久之后。...
windows虚拟机故障排除
... 因此,在安全模式下,您的显示器分辨率将降低到640 x 480,禁用声音,不运行启动程序,并断开非重要设备的连接(您的键盘和鼠标仍然工作)。这对于一些故障排除功能非常方便: ...
12个工具,你可以用来帮助打击勒索软件
...说的是贪婪。它可以点击许多重要的防病毒框,包括主动恶意软件扫描、基于行为的检测、恶意URL阻止等等。 ...
如何从xhamster中删除bedep恶意软件
...bytes博客上的一份报告,2015年初,****xHamster的访问者看到恶意软件大幅增加。在2015年1月25日和26日,xHamster的恶意软件感染增加了1500%。 ...
你不知道的rootkit会吓到你
... 用外行的话说,rootkit是一种令人讨厌、可怕甚至危险的恶意软件,现在是历史上最高的恶意软件安全风险之一。它将在未经您的许可下进入您的计算机,未被发现关闭您的防病毒保护,并让攻击者成为未经授权的管理员,以便...
android上有弹出广告吗?如何对其进行定位和移除
... 作为一个喜欢把各种各样的宣传材料、社交网络和恶意软件都关在**外面的人,这让人有些吃惊。 ...
什么是代码签名恶意软件?如何避免它?
...和安装,开发者可以保护他们产品的声誉。然而,黑客和恶意软件发行商正利用这个精确的系统来帮助恶意代码溜过防病毒套件和其他安全程序。 ...
android上检测和避免危险应用的5个技巧
... 大多数恶意软件都来自游戏商店之外。由于应用程序的源代码包含恶意软件,因此您不会事先知道其恶意行为。受感染的应用程序通常以盗版应用程序、重新打包的合法应用程序...
0 篇文章
