Haittaohjelmien kehittäjät ja verkkoturvallisuuden asiantuntijat ovat vuosien varrella olleet sodassa yrittäneet yhdistää toisiaan. Äskettäin haittaohjelmien kehittäjäyhteisö otti käyttöön uuden strategian, joka kiertää havaitsemisen: tarkistaa näytön tarkkuuden.
Tutkitaan, miksi näytön resoluutiolla on merkitystä haittaohjelmille, ja mitä se tarkoittaa sinulle.
Miksi Haittaohjelmat välittävät näytön tarkkuudesta
Saadaksesi selville miksi haittaohjelmat välittävät näytön tarkkuudesta, meidän on tarkasteltava yhtä sen pahimmista vihollisista; virtuaalikone Mikä on virtuaalikone? Kaikki mitä sinun tarvitsee tietääVirtuaalikoneiden avulla voit käyttää muita käyttöjärjestelmiä nykyisellä tietokoneellasi. Tässä on mitä sinun pitäisi tietää heistä. Lue lisää .
Virtuaalikoneet ovat hyödyllinen työkalu virustutkijoille. Ne toimivat "tietokoneena tietokoneen sisällä", joten voit käyttää toista käyttöjärjestelmää tarvitsematta uutta tietokonetta.
Esimerkiksi, jos sinulla on Windows 10 -tietokone, mutta haluat käyttää Linuxia, voit määrittää virtuaalikoneen Windows 10: n sisällä ajamaan Linuxia. Se toimii kuten Linux-kone, mutta toimii ikkunassa Windows 10: ssä.
Virtuaalikoneet ovat erittäin hyödyllisiä virustutkijoille, koska ne toimivat digitaalisena venuksen kärpäsloukuna. Jos tutkija uskoo, että ohjelma tai tiedosto sisältää viruksen, hän voi testata sen ajamalla sitä virtuaalikoneessa.
Jos tiedosto sisältää viruksen, se alkaa tartuttaa virtuaalikonetta. Koska virtuaalikone on asetettu oikean kaltaiseksi, virus uskoo tartuttavansa oikean tietokoneen eikä virtuaalikoneeseen. Sellaisena se alkaa toimittaa hyötykuormansa ja vahingoittaa virtuaalikoneita. Onneksi mikään viruksen aiheuttamista vaurioista ei "siirry" päätietokoneelle; se vaikuttaa vain virtuaaliseen.
Kun virus on antanut pelin pois, tutkija voi tutkia sen toimintaa ja nollata virtuaalikone. Sitten he ottavat oppimansa virtuaalikoneesta ja käyttävät sitä virusmääritelmien luomiseen ihmisten todellisten tietokoneiden suojelemiseksi.
Tämän takia virtuaalikoneet ovat haittaohjelmien kehittäjien este. Jos joku epäilee, että ohjelmassa on haittaohjelmia, hän voi käynnistää sen virtuaalikoneessa ja puhdistaa sen, jos se on huono.
Missä näytön resoluutio tulee tähän?
Tällä sovellusten testaustavalla on yksi virhe. Kun haittaohjelmatutkija luo virtuaalikoneen, he eivät ole oikeasti kiinnostuneita kaikista lisäominaisuuksista. He tarvitsevat vain virustestejä varten virtuaalikoneen, joka toimii kuin normaali tietokone - kaikki muu on valinnainen.
Seurauksena on, että tutkijat eivät joskus asenna VM: n vierasohjelmistoa. Tämä ohjelmisto mahdollistaa lisäominaisuudet, kuten suuremmat näytön resoluutiot, joita tutkija ei todellakaan tarvitse. Jos käyttäjä ei käytä vierasohjelmistoa, VM lukitsee käyttäjän yleensä jompaan kumpaan kahdesta pienestä resoluutiosta: 800 × 600 ja 1024 × 768.
Nämä kaksi päätöslauselmaa ovat tärkeitä haittaohjelmien kehittäjälle. Nykyajan tietokoneissa ja kannettavissa tietokoneissa ei ole tyypillisesti näyttöjä tällä resoluutiolla; se on hyvin vanhentunut.
Itse asiassa voit nähdä kuinka vanhentunut se on StatCounter, joka kerää tietoja eniten käytetyistä tarkkuuksista. Kirjoittamishetkellä päätöslauselmat ovat joko suurempia tai pienempiä kuin yllä olevat VM-esimerkit.
Spektrin toisella puolella on vakioresoluutio 1366 × 768 kannettavissa tietokoneissa ja 1920 × 1080 PC-näytöissä. Toisaalta löydät pieniä käytössä olevia 360 × 640-näyttöjä - ne ovat älypuhelimia.
800 × 600 ja 1024 × 768 eivät näy ollenkaan. Jälkimmäisen, 768 × 1024, käänteinen sivu on olemassa; tämä on iPad-resoluutio. Kuitenkin jopa tämä vie vain 2,6 prosenttia, mikä tarkoittaa, että 97,4 prosenttia laitteista käyttää erilaisia tarkkuuksia.
Kuinka haittaohjelma käyttää näitä tietoja virtuaalikoneiden välttämiseksi
Sinänsä, kun haittaohjelma laskeutuu isäntätietokoneelle ja huomauttaa, että se toimii joko 800 × 600 tai 1024 × 768, se on joko hyvin vanhentuneella laitteistolla tai - todennäköisemmin - niitä katsotaan virtuaalisesti kone.
Jos virus toimii tässä tilassa, se antaa pelin pois virustutkijan silmissä. Sellaisten salaisuuksiensa suojaamiseksi haittaohjelma itsestään päättyy eikä aiheuta vahinkoa.
Tutkijan näkökulmasta ohjelma juoksi ja ei saastuttanut tietokonetta, joten sen on oltava hyvänlaatuinen. He voivat sitten antaa väärän negatiivisen raportin ohjelmalle, jolloin haittaohjelmat voivat kulkea pidemmälle, ennen kuin ne lopulta kiinni.
Esimerkkejä haittaohjelmien tarkkuuden tarkistamisesta todellisessa maailmassa
Trickbot on erinomainen esimerkki tästä taktiikasta ulkona. Tutkijat onnistuivat murtautumaan viimeaikaiseen TrickBot-koodin kantaan ja analysoivat sen toimivuutta. Yksi Mak-käyttäjänä oleva Twitter-käyttäjä (@maciekkotowicz) löysi TrickBotista koodinpätkän, joka etsii tarkkuutta 800 × 600 tai 1024 × 768.
Tämän päivän #Trickbot kuormaajat näytön resoluutiolla #antivm temppu, jos resoluutio on 800 × 600 tai 1024 × 768 - olet turvassa! ;] kopio @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. kesäkuuta 2020
Tässä koodipalasessa virus tarttuu tietokoneen resoluution X- ja Y-arvoihin ja yhdistää ne sitten tuloksen näkemiseksi. Jos tulos on yhtä suuri kuin 800 × 600 tai 1024 × 768, koodi palauttaa luvun 0. Tämä kertoo haittaohjelmasta, että se toimii virtuaalikoneessa.
Kun haittaohjelma tietää sen olevan virtuaalikoneessa, se tuhoaa itsensä estääkseen havaitsemisen. Tämän seurauksena kuka tahansa viruksen tarkistaminen virtuaalikoneessa pitää sitä väärin turvallisena.
Mitä tämä taktiikka tarkoittaa sinulle
Tämä tarkoittaa tietysti, että jos käytit tarkkuutta 1024 × 768 tai 800 × 600, sinulla on suojaus joiltakin haittaohjelmien kannoilta. Heti saapuessaan he huomaavat päätöslauselmasi ja räjähtävät itsensä ennen vaurioita. Mitä suojaan saat, menetät kuitenkin mielenterveytesi käyttäessäsi tietokonetta, jolla on niin ahdas resoluutio!
Sinun mielestäsi paras tapa torjua tätä uutta haittaohjelmakantaa on päivittää virustorjunta. Nyt kun tämä anti-VM-temppu on yleinen tieto, on epätodennäköistä, että huippuluokan tietoturvayritykset huijataan uudelleen.
Tämä on kuitenkin tärkeää huomata, jos sinulla on taipumus testata tiedostoja omissa virtuaalikoneissasi. Jos virtuaalikoneesi toimii 800 × 600 tai 1024 × 768, on syytä asettaa se suositummalle resoluutiolle. Jos et, et voi olla varma, onko testattavassa tiedostossa asennettu tämä VM-varotoimenpide.
Pysyminen turvassa salaperäisiltä viruksilta
Kyberturvallisuudesta on tulossa valtava ala, josta se on, haittaohjelmien kehittäjien on mukauduttava pysyäkseen askeleen edellä. Uudet haittaohjelmakannat kiertävät kaappauksen, jos niitä käytetään valmistelemattomassa VM: ssä, joten jos käytät VM-viruksia virustestaukseen, muista tämä mielessä.
Paras virustentorjunta on järkevää, joten miksi et oppisi helppoja tapoja koskaan saada virusta 10 helppoa tapaa koskaan saada virustaPienellä peruskoulutuksella voit täysin välttää virusten ja haittaohjelmien ongelmat tietokoneissa ja mobiililaitteissa. Nyt voit rauhoittua ja nauttia Internetistä! Lue lisää ?
Tytäryhtiöiden ilmoittaminen: Ostamalla suosittelemiasi tuotteita autat pitämään sivuston hengissä. Lue lisää.
Tietojenkäsittelytieteen kandidaatin tutkinnon suorittanut syvä intohimo kaiken turvallisuuteen. Työskenneltyään indie-pelistudiossa, hän löysi intohimonsa kirjoittamiseen ja päätti käyttää taitoaan kirjoittaakseen kaiken tekniikan.
