惡意軟體如何使用螢幕解析度來避免檢測
多年來,惡意軟體開發人員和網路安全專家一直在為彼此之間的關係而展開戰爭。最近,惡意軟體開發人員社群部署了一種新的策略規避檢測:檢查螢幕解析度。
讓我們探討一下為什麼螢幕解析度對惡意軟體很重要,以及它對您意味著什麼。
為什麼惡意軟體關心螢幕解析度
為了找出惡意軟體關心螢幕解析度的原因,我們必須看看它最大的敵人之一:虛擬機器。
虛擬機器是病毒研究人員的有用工具。它們就像一臺“電腦裡的電腦”,所以你可以使用另一個作業系統而不需要新的電腦。
例如,如果您有一臺windows10計算機,但是您想使用Linux,那麼您可以在windows10中設定一個虛擬機器來執行Linux。它就像一臺Linux機器,但在windows10的視窗中執行。
虛擬機器對病毒研究人員非常有用,因為它們充當了一個數字捕蠅器。如果研究人員認為某個程式或檔案包含病毒,他們可以透過在虛擬機器中執行來測試它。
如果檔案包含病毒,它將開始感染虛擬機器。因為虛擬機器的設定和真實的一樣,病毒認為它感染的是真實的電腦,而不是虛擬的電腦。因此,它開始傳遞有效負載並對虛擬機器造成損害。幸運的是,病毒不會“攜帶”到主計算機;它隻影響虛擬計算機。
一旦病毒洩露了遊戲,研究人員可以研究它的工作原理,然後重置虛擬機器。然後,他們從虛擬機器上學到的知識,並用它來建立病毒定義,以保護人們的真實計算機。
因此,虛擬機器是惡意軟體開發者的禍根。如果有人懷疑某個程式包含惡意軟體,他們可以在虛擬機器中啟動它,如果它不好,就把它清除掉。
螢幕解析度從何而來?
這種測試應用程式的方法有一個缺陷。當惡意軟體研究人員建立虛擬機器時,他們並不是真的對所有的附加功能感興趣。他們需要測試的只是一個虛擬機器,它的行為就像一臺普通的計算機——其他一切都是可選的。
因此,研究人員有時不安裝虛擬機器的客戶軟體。這個軟體支援一些附加功能,比如更高的螢幕解析度,而研究人員並不真正需要這些功能。如果使用者不使用guest軟體,VM通常會將使用者鎖定為兩個低解析度之一:800x600和1024x768。
這兩種解決方案對惡意軟體開發人員非常重要。現代的電腦和膝上型電腦一般都沒有那種解析度的螢幕,它已經過時了。
事實上,您可以在Statcounter上看到它是多麼過時,Statcounter收集關於最常用的解析度的資訊。在撰寫本文時,解析度往往大於或小於上述VM示例。
另一方面,膝上型電腦的解析度為1366x768,PC顯示器的解析度為1920x1080。在另一邊,你會發現正在使用的360x640小螢幕——那是智慧**。
800x600和1024x768根本不出現。後者的反面768x1024確實存在;這是iPad的解析度。然而,即使這樣也只佔2.6%,這意味著97.4%的裝置使用不同的解析度。
惡意軟體如何利用這些資料來避開虛擬機器
因此,當惡意軟體登陸到主機上,並注意到它執行在800x600或1024x768上時,它要麼是在非常過時的硬體上,要麼更可能是在虛擬機器中被監視。
如果病毒在這種情況下執行,它會讓遊戲在病毒研究人員的眼皮底下消失。因此,為了保護自己的祕密,惡意軟體反而自行終止,不會造成損害。
從研究者的角度來看,這個程式執行後沒有感染電腦,所以它一定是良性的。然後,他們可能會為程式分配一個假陰性報告,讓惡意軟體在最終被抓獲之前傳播得更遠。
現實世界中解析度檢查惡意軟體的示例
魔術師是這種策略在野外的一個很好的例子。研究人員設法破解了最近的一種TrickBot程式碼,並分析了它的工作原理。一位名為Mak(@maciekkotowicz)的Twitter使用者在TrickBot中發現了一段程式碼,可以掃描800x600或1024x768的解析度。
在這段程式碼中,病毒獲取計算機解析度的X和Y值,然後將它們結合起來檢視結果。如果結果等於800x600或1024x768,則程式碼返回數字0。這會告訴惡意軟體它正在虛擬機器中執行。
一旦惡意軟體知道它在虛擬機器中,它就會自毀以避免被發現。因此,任何在虛擬機器中檢查病毒的人都會錯誤地認為它是安全的。
這對你意味著什麼
當然,這意味著如果您使用的是1024x768或800x600解析度,您將可以免受某些惡意軟體的攻擊。一旦他們到達,他們會注意到你的決心,並在他們造成任何傷害前自行引爆。然而,你得到的保護,你會失去你的理智使用這樣一個侷促的決議電腦!
因此,你最好的辦法來擊退這種新的病毒株是更新你的防毒軟體。既然這種反虛擬機器的伎倆已經公之於眾,高階安全公司就不太可能再上當了。
但是,如果您有在自己的虛擬機器中測試檔案的傾向,則需要注意這一點。如果您的虛擬機器執行的是800x600或1024x768,那麼將其設定為更流行的解析度是值得的。如果沒有,則無法確定正在測試的檔案是否安裝了此反VM預防措施。
遠離鬼祟的病毒
隨著網路安全成為一個龐大的行業,惡意軟體開發商必須適應,以保持領先一步。如果在未準備好的虛擬機器中執行,新的惡意軟體將無法捕獲,因此如果您使用虛擬機器進行病毒測試,請務必記住這一點。
最好的防毒軟體是常識,那麼為什麼不學習一下避免感染病毒的簡單方法呢?
- 發表於 2021-03-30 18:26
- 閱讀 ( 48 )
- 分類:安全
你可能感興趣的文章
如何檢查你的電腦是否有惡意軟體
...經常與internet Explorer聯絡在一起,成為潛伏在你電腦上的惡意軟體的代名詞。當然,現在彈出視窗可能只是一個特別煩人的廣告。然而,如果你在瀏覽器沒有開啟的情況下也出現了彈出視窗,那麼這可能意味著一切都不順利。這...
惡意軟體是如何進入你的智慧手機的?
惡意應用是智慧**使用者的禍害。不管你對iOS和Android的看法如何,我們都同意,一個被惡意軟體感染的應用程式保證了糟糕的一天。而儘管谷歌Play商店無疑正淹沒在惡意應用中,但蘋果應用商店長久以來的神聖已不復存在。 ...
完整的惡意軟體刪除指南
如今惡意軟體無處不在。你只需要在錯誤的咖啡館打噴嚏,你就有惡意軟體。好吧,也許沒那麼糟。但隨著網路世界的擴大,感染的可能性也在增加。 ...
如何檢查你是否窩藏了pinkslipbot惡意軟體
時不時會出現一種新的惡意軟體變種,迅速提醒人們安全風險總是在上升。QakBot/Pinkslipbot銀行特洛伊木馬就是其中之一。這種不滿足於獲取銀行憑證的惡意軟體現在可以作為控制伺服器——在安全產品停止其最初用途很久之後。...
windows虛擬機器故障排除
... 因此,在安全模式下,您的顯示器解析度將降低到640 x 480,禁用聲音,不執行啟動程式,並斷開非重要裝置的連線(您的鍵盤和滑鼠仍然工作)。這對於一些故障排除功能非常方便: ...
新的osx/dok惡意軟體接管了你的mac:該做什麼以及如何防止它
...一下自己了。今天最嚴重的誤解之一是Mac使用者不易受到惡意軟體的攻擊,如果你放鬆警惕,你可能會被真正嚴重的東西感染。 ...
如何從xhamster中刪除bedep惡意軟體
...es部落格上的一份報告,2015年初,****xHamster的訪問者看到惡意軟體大幅增加。在2015年1月25日和26日,xHamster的惡意軟體感染增加了1500%。 ...
你不知道的rootkit會嚇到你
... 用外行的話說,rootkit是一種令人討厭、可怕甚至危險的惡意軟體,現在是歷史上最高的惡意軟體安全風險之一。它將在未經您的許可下進入您的計算機,未被發現關閉您的防病毒保護,並讓攻擊者成為未經授權的管理員,以便...
android上有彈出廣告嗎?如何對其進行定位和移除
... 作為一個喜歡把各種各樣的宣傳材料、社交網路和惡意軟體都關在**外面的人,這讓人有些吃驚。 ...
什麼是程式碼簽名惡意軟體?如何避免它?
...和安裝,開發者可以保護他們產品的聲譽。然而,駭客和惡意軟體發行商正利用這個精確的系統來幫助惡意程式碼溜過防病毒套件和其他安全程式。 ...
