Au fil des ans, les développeurs de logiciels malveillants et les experts en cybersécurité ont été en guerre pour essayer de s'unir. Récemment, la communauté des développeurs de logiciels malveillants a déployé une nouvelle stratégie pour éviter la détection: vérifier la résolution de l'écran.
Explorons pourquoi la résolution d'écran est importante pour les logiciels malveillants et ce qu'elle signifie pour vous.
Pourquoi les logiciels malveillants se soucient de la résolution de l'écran
Pour découvrir pourquoi les logiciels malveillants se soucient de la résolution de l'écran, nous devons jeter un coup d'œil à l'un de ses pires ennemis; les machine virtuelle Qu'est-ce qu'une machine virtuelle? Tout ce que tu as besoin de savoirLes machines virtuelles vous permettent d'exécuter d'autres systèmes d'exploitation sur votre ordinateur actuel. Voici ce que vous devez savoir à leur sujet. Lire la suite .
Les machines virtuelles sont un outil utile pour les chercheurs de virus. Ils agissent comme un «ordinateur à l'intérieur d'un ordinateur», de sorte que vous pouvez utiliser un autre système d'exploitation sans avoir besoin d'un nouveau PC.
Par exemple, si vous avez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle dans Windows 10 pour exécuter Linux. Il fonctionnera comme une machine Linux mais s’exécutera dans une fenêtre sous Windows 10.
Les machines virtuelles sont très utiles pour les chercheurs de virus, car elles agissent comme un piège à mouches Vénus numérique. Si un chercheur pense qu'un programme ou un fichier contient un virus, il peut le tester en l'exécutant dans une machine virtuelle.
Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Parce qu’une machine virtuelle est configurée comme une vraie, le virus pense qu’elle infecte un vrai PC et non un virtuel. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, aucun des dommages causés par un virus ne «reporte» sur l'ordinateur principal; il n'affecte que le virtuel.
Une fois que le virus a donné le jeu, le chercheur peut étudier son fonctionnement puis réinitialiser la machine virtuelle. Ils prennent ensuite ce qu'ils ont appris de la machine virtuelle et l'utilisent pour créer des définitions de virus afin de protéger les vrais ordinateurs des gens.
Pour cette raison, les machines virtuelles sont le fléau des développeurs de logiciels malveillants. Si quelqu'un soupçonne qu'un programme héberge un logiciel malveillant, il peut le démarrer dans une machine virtuelle et le nettoyer s'il est défectueux.
D'où vient la résolution d'écran?
Il y a un défaut avec cette méthode de test des applications. Lorsqu'un chercheur de logiciels malveillants crée une machine virtuelle, il n'est pas vraiment intéressé par toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester les virus est une machine virtuelle qui agit comme un ordinateur normal - tout le reste est facultatif.
En conséquence, les chercheurs n’installent parfois pas le logiciel invité de la VM. Ce logiciel permet des fonctionnalités supplémentaires telles que des résolutions d'écran plus élevées, dont le chercheur n'a pas vraiment besoin. Si l'utilisateur n'utilise pas le logiciel invité, la VM verrouille généralement l'utilisateur dans l'une des deux résolutions basses: 800 × 600 et 1024 × 768.
Ces deux résolutions sont importantes pour un développeur de logiciels malveillants. Les ordinateurs et les ordinateurs portables modernes ne sont généralement pas équipés d'écrans à cette résolution; il est très dépassé.
En fait, vous pouvez voir à quel point il est obsolète Statcounter, qui recueille des informations sur les résolutions les plus utilisées. Au moment de la rédaction de cet article, les résolutions ont tendance à être plus grandes ou plus petites que les exemples de VM ci-dessus.
D'un côté du spectre, vous avez la résolution standard 1366 × 768 pour les ordinateurs portables et 1920 × 1080 pour les moniteurs PC. De l'autre côté, vous trouverez de minuscules écrans 360 × 640 en cours d'utilisation - ce sont des smartphones.
800 × 600 et 1024 × 768 n'apparaissent pas du tout. Le revers de ce dernier, 768 × 1024, existe; ceci est une résolution iPad. Cependant, même cela ne prend que 2,6%, ce qui signifie que 97,4% des appareils utilisent des résolutions différentes.
Comment les logiciels malveillants utilisent ces données pour éviter les machines virtuelles
En tant que tel, lorsqu'un logiciel malveillant atterrit sur un ordinateur hôte et constate qu'il s'exécute sur 800 × 600 ou 1 024 × 768, soit sur du matériel très obsolète, soit - plus probablement - ils sont regardés dans un environnement virtuel machine.
Si le virus fonctionne dans ces conditions, il livrera le jeu sous les yeux d'un chercheur de virus. En tant que tel, afin de protéger ses secrets, le malware s'arrête automatiquement et ne cause aucun dommage.
Du point de vue du chercheur, le programme s’est exécuté et n’a pas infecté le PC, il doit donc être bénin. Ils peuvent ensuite attribuer un faux rapport négatif pour le programme, permettant au logiciel malveillant de voyager plus loin avant d'être finalement détecté.
Exemples de logiciels malveillants vérifiant la résolution dans le monde réel
Trickbot est un excellent exemple de cette tactique dans la nature. Les chercheurs ont réussi à percer une récente souche de code de TrickBot et ont analysé son fonctionnement. Un utilisateur de Twitter connu sous le nom de Mak (@maciekkotowicz) a trouvé un morceau de code dans TrickBot qui recherche une résolution de 800 × 600 ou 1024 × 768.
Aujourd'hui #Trickbot chargeurs avec une résolution d'écran #antivm astuce, si vous avez une résolution de 800 × 600 ou 1024 × 768 - vous êtes en sécurité! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 juin 2020
Dans ce morceau de code, le virus saisit les valeurs X et Y de la résolution de l’ordinateur, puis les combine pour voir le résultat. Si le résultat est égal à 800 × 600 ou 1024 × 768, le code renvoie le nombre 0. Cela indique au malware qu'il s'exécute dans une VM.
Une fois que le malware sait qu'il se trouve dans une machine virtuelle, il s'autodétruit pour éviter d'être détecté. En conséquence, toute personne recherchant des virus dans une machine virtuelle la jugera à tort sûre.
Ce que cette tactique signifie pour vous
Bien sûr, cela signifie que si vous avez utilisé une résolution de 1024 × 768 ou 800 × 600, vous serez protégé contre certaines souches de logiciels malveillants. Dès leur arrivée, ils prendront note de votre résolution et s’auto-exploseront avant de faire des dégâts. Cependant, ce que vous gagnez en protection, vous le perdrez dans votre santé mentale en utilisant un ordinateur avec une résolution aussi restreinte!
En tant que tel, votre meilleur pari pour lutter contre cette nouvelle souche de malware est de mettre à jour votre antivirus. Maintenant que cette astuce anti-VM est de notoriété publique, il est peu probable que les sociétés de sécurité haut de gamme soient à nouveau dupées.
Cependant, ceci est important à noter si vous avez tendance à tester des fichiers dans vos propres machines virtuelles. Si votre VM s'exécute à 800 × 600 ou 1024 × 768, il vaut la peine de la définir sur une résolution plus courante. Si ce n'est pas le cas, vous ne pouvez pas être certain que cette précaution anti-VM est installée sur le fichier que vous testez.
Rester à l'abri des virus sournois
La cybersécurité devenant l'énorme industrie qu'elle est, les développeurs de logiciels malveillants doivent s'adapter pour garder une longueur d'avance. Les nouvelles souches de logiciels malveillants échapperont à la capture si elles sont exécutées sur une machine virtuelle non préparée, donc si vous utilisez des machines virtuelles pour des tests de virus, n'oubliez pas de garder cela à l'esprit.
Le meilleur antivirus est le bon sens, alors pourquoi ne pas apprendre le moyens faciles de ne jamais attraper un virus 10 façons simples de ne jamais attraper un virusAvec un peu de formation de base, vous pouvez éviter complètement le problème des virus et des logiciels malveillants sur vos ordinateurs et appareils mobiles. Maintenant, vous pouvez vous calmer et profiter d'Internet! Lire la suite ?
Divulgation d'affiliation: En achetant les produits que nous recommandons, vous contribuez à maintenir le site en vie. Lire la suite.
Diplômé d'un BSc en informatique avec une passion profonde pour tout ce qui concerne la sécurité. Après avoir travaillé pour un studio de jeux indépendants, il a trouvé sa passion pour l'écriture et a décidé d'utiliser ses compétences pour écrire sur tout ce qui concerne la technologie.