Ao longo dos anos, desenvolvedores de malware e especialistas em segurança cibernética estão em guerra tentando se unir. Recentemente, a comunidade de desenvolvedores de malware implantou uma nova estratégia para evitar a detecção: verificar a resolução da tela.
Vamos explorar por que a resolução da tela é importante para malware e o que isso significa para você.
Por que o malware se importa com a resolução da tela
Para descobrir por que o malware se preocupa com a resolução da tela, precisamos dar uma olhada em um de seus piores inimigos; a máquina virtual O que é uma máquina virtual? Tudo o que você precisa saberMáquinas virtuais permitem executar outros sistemas operacionais no seu computador atual. Aqui está o que você deve saber sobre eles. consulte Mais informação .
Máquinas virtuais são uma ferramenta útil para pesquisadores de vírus. Eles agem como um “computador dentro de um computador”, para que você possa usar outro sistema operacional sem precisar de um novo PC.
Por exemplo, se você possui um computador com Windows 10, mas deseja usar o Linux, pode configurar uma máquina virtual dentro do Windows 10 para executar o Linux. Ele funciona como uma máquina Linux, mas é executado em uma janela no Windows 10.
Máquinas virtuais são altamente úteis para pesquisadores de vírus, pois agem como uma armadilha digital para moscas venenosas. Se um pesquisador acredita que um programa ou arquivo contém um vírus, ele pode testá-lo executando-o em uma máquina virtual.
Se o arquivo contiver um vírus, ele começará a infectar a máquina virtual. Como uma máquina virtual é configurada como uma máquina real, o vírus acredita que está infectando um PC real e não um virtual. Como tal, ele começa a entregar sua carga útil e a danificar a máquina virtual. Felizmente, nenhum dos danos que um vírus transporta para o computador principal; isso afeta apenas o virtual.
Depois que o vírus der o jogo, o pesquisador pode estudar como ele funciona e redefinir a máquina virtual. Eles pegam o que aprenderam com a máquina virtual e a usam para criar definições de vírus para proteger os computadores reais das pessoas.
Por causa disso, as máquinas virtuais são a desgraça dos desenvolvedores de malware. Se alguém suspeitar que um programa hospeda malware, ele poderá inicializá-lo em uma máquina virtual e removê-lo, se estiver ruim.
De onde vem a resolução da tela?
Há uma falha neste método de teste de aplicativos. Quando um pesquisador de malware cria uma máquina virtual, ele não está realmente interessado em todos os recursos adicionais. Tudo o que eles precisam para testar vírus é uma máquina virtual que funciona como um computador normal - tudo o resto é opcional.
Como resultado, os pesquisadores às vezes não instalam o software convidado da VM. Esse software permite recursos adicionais, como resoluções de tela mais altas, das quais o pesquisador realmente não precisa. Se o usuário não usa o software convidado, a VM normalmente bloqueia o usuário em uma das duas resoluções baixas: 800 × 600 e 1024 × 768.
Essas duas resoluções são importantes para um desenvolvedor de malware. Os computadores e laptops modernos normalmente não vêm com telas com essa resolução; está muito desatualizado.
De fato, você pode ver como está desatualizado Statcounter, que coleta informações sobre as resoluções mais usadas. No momento da redação deste artigo, as resoluções tendem a ser maiores ou menores que os exemplos de VM acima.
De um lado do espectro, você tem a resolução 1366 × 768 padrão para laptops e 1920 × 1080 para monitores de PC. Por outro lado, você encontrará pequenas telas de 360 × 640 em uso - esses são smartphones.
800 × 600 e 1024 × 768 não aparecem. O inverso do último, 768 × 1024, existe; Esta é uma resolução do iPad. No entanto, mesmo isso ocupa apenas 2,6%, o que significa que 97,4% dos dispositivos usam resoluções diferentes.
Como o malware usa esses dados para evitar VMs
Dessa forma, quando o malware chega ao computador host e observa que está sendo executado em 800 × 600 ou 1024 × 768, é em hardware muito desatualizado ou - mais provavelmente - eles estão sendo assistidos em um ambiente virtual máquina.
Se o vírus operar sob essa condição, ele distribuirá o jogo sob os olhos de um pesquisador de vírus. Como tal, para proteger seus segredos, o malware termina automaticamente e não causa danos.
Do ponto de vista do pesquisador, o programa foi executado e não infectou o PC, portanto deve ser benigno. Em seguida, eles podem atribuir um relatório falso-negativo ao programa, permitindo que o malware viaje mais longe antes que ele seja finalmente capturado.
Exemplos de malware para verificação de resolução no mundo real
O Trickbot é um excelente exemplo dessa tática na natureza. Os pesquisadores conseguiram invadir uma recente linhagem do código do TrickBot e analisaram como ele funciona. Um usuário do Twitter conhecido como Mak (@maciekkotowicz) encontrou um pedaço de código no TrickBot que verifica uma resolução de 800 × 600 ou 1024 × 768.
Hoje #Trickbot carregadores com resolução de tela #antivm truque, se você tiver resolução 800 × 600 ou 1024 × 768 - você está seguro! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 de junho de 2020
Nesse pedaço de código, o vírus captura os valores X e Y da resolução do computador e os combina para ver o resultado. Se o resultado for igual a 800 × 600 ou 1024 × 768, o código retornará o número 0. Isso indica ao malware que está sendo executado em uma VM.
Quando o malware sabe que está dentro de uma máquina virtual, ele se autodestrói para evitar a detecção. Como resultado, qualquer pessoa que verifique vírus em uma máquina virtual considerará incorretamente a segurança.
O que essa tática significa para você
Obviamente, isso significa que, se você usou uma resolução de 1024 × 768 ou 800 × 600, terá proteção contra alguns tipos de malware. Assim que chegarem, eles notarão sua resolução e se autodestruirão antes de causar algum dano. No entanto, o que você ganha em proteção, perde sua sanidade ao usar um computador com uma resolução tão limitada!
Como tal, a sua melhor aposta para combater esta nova variedade de malware é atualizar o seu antivírus. Agora que esse truque anti-VM é de conhecimento público, é improvável que as empresas de segurança de ponta sejam enganadas novamente.
No entanto, é importante observar se você tem a tendência de testar arquivos em suas próprias máquinas virtuais. Se sua VM estiver executando em 800 × 600 ou 1024 × 768, vale a pena defini-la para uma resolução mais popular. Caso contrário, você não pode ter certeza de que o arquivo que está testando possui esta precaução anti-VM instalada.
Mantendo-se seguro contra vírus sorrateiros
Com a segurança cibernética se tornando o grande setor em que se desenvolve, os desenvolvedores de malware precisam se adaptar para ficar um passo à frente. Novas linhagens de malware evitarão a captura se executadas em uma VM despreparada; portanto, se você usar VMs para teste de vírus, lembre-se disso.
O melhor antivírus é o senso comum. Por que não aprender as maneiras fáceis de nunca pegar um vírus 10 maneiras fáceis de nunca obter um vírusCom um pouco de treinamento básico, você pode evitar completamente o problema de vírus e malware em seus computadores e dispositivos móveis. Agora você pode se acalmar e aproveitar a internet! consulte Mais informação ?
Divulgação de afiliados: Ao comprar os produtos que recomendamos, você ajuda a manter o site vivo. Consulte Mais informação.
Um graduado em Ciência da Computação com uma profunda paixão por tudo o que é segurança. Depois de trabalhar em um estúdio independente de jogos, ele encontrou sua paixão pela escrita e decidiu usar seu conjunto de habilidades para escrever sobre tudo sobre tecnologia.