במהלך השנים, מפתחים של תוכנות זדוניות ומומחי אבטחת סייבר נמצאים במלחמה ומנסים אחד לשני. לאחרונה, קהילת המפתחים של תוכנות זדוניות פרסמה גילוי להתחמק מאסטרטגיה חדשה: בדיקת רזולוציית המסך.

בואו ונבדוק מדוע רזולוציית המסך חשובה לתוכנה זדונית, ומה המשמעות עבורכם.

מדוע תוכנה זדונית אכפת מרזולוציית המסך

כדי לגלות מדוע תוכנה זדונית אכפת מרזולוציית המסך, עלינו להציץ באחד מאויביו הגרועים ביותר; ה מכונה וירטואלית מהי מכונה וירטואלית? כל מה שצריך לדעתמכונות וירטואליות מאפשרות לך להפעיל מערכות הפעלה אחרות במחשב הנוכחי שלך. הנה מה שכדאי לדעת עליהם. קרא עוד .

מכונות וירטואליות הן כלי שימושי עבור חוקרי וירוסים. הם פועלים כ"מחשב בתוך מחשב ", כך שתוכל להשתמש במערכת הפעלה אחרת מבלי שתצטרך מחשב חדש.

לדוגמה, אם ברשותך מחשב Windows 10 אך ברצונך להשתמש ב- Linux, באפשרותך להגדיר מחשב וירטואלי בתוך Windows 10 להפעלת לינוקס. זה יתנהג ממש כמו מחשב לינוקס אבל יפעל בחלון ב- Windows 10.

מכונות וירטואליות מועילות מאוד לחוקרי הווירוסים, מכיוון שהם פועלים כמלכודת זבוב ונוס דיגיטלית. אם חוקר מאמין שתוכנית או קובץ מכילים וירוס, הם יכולים לבדוק אותו על ידי הפעלתו בתוך מחשב וירטואלי.

instagram viewer

אם הקובץ מכיל וירוס, הוא יתחיל להדביק את המחשב הווירטואלי. מכיוון שמכונה וירטואלית מוגדרת כמו אמיתית, הנגיף מאמין שהיא מדביקה מחשב אמיתי ולא מחשב וירטואלי. ככאלה, היא מתחילה לספק את המשא שלה ולפגוע במכונה הווירטואלית. למרבה המזל, אף אחד מהנזקים שוירוס לא "מעביר" למחשב הראשי; זה משפיע רק על הווירטואלי.

לאחר שהנגיף מסר את המשחק, החוקר יכול ללמוד כיצד הוא עובד ואז לאפס את המכונה הווירטואלית. לאחר מכן הם לוקחים את מה שלמדו מהמחשב הווירטואלי ומשתמשים בו כדי ליצור הגדרות וירוסים כדי להגן על המחשבים האמיתיים של האנשים.

מכיוון שכך, מכונות וירטואליות הן המוצא של מפתחי תוכנות זדוניות. אם מישהו חושד שתוכנית כוללת תוכנות זדוניות, הם יכולים לאתחל אותה במחשב וירטואלי ולשפשף אותה אם זה רע.

היכן נכנסת לזה רזולוציה של מסך?

יש פגם אחד בשיטה זו של בדיקת אפליקציות. כאשר חוקר תוכנות זדוניות יוצר מכונה וירטואלית, הם לא ממש מעוניינים בכל התכונות הנוספות. כל מה שהם צריכים כדי לבדוק וירוסים הוא מכונה וירטואלית שפועלת כמו מחשב רגיל - כל השאר הוא לא חובה.

כתוצאה מכך, לפעמים החוקרים אינם מתקינים את תוכנת האורח של VM. תוכנה זו מאפשרת תכונות נוספות כגון רזולוציות מסך גבוהות יותר, שהחוקר אינו באמת זקוק לה. אם המשתמש אינו משתמש בתוכנת האורח, VM בדרך כלל נועל את המשתמש לאחת משתי רזולוציות נמוכות: 800 × 600 ו- 1024 × 768.

שתי הרזולוציות הללו חשובות למפתח תוכנות זדוניות. מחשבים ומחשבים ניידים של ימינו לא מגיעים לרוב עם מסכים ברזולוציה זו; זה מאוד מיושן.

הגרף של Statcounter מראה פופולריות ברזולוציה

למעשה, אתה יכול לראות עד כמה זה מיושן Statcounter, האוסף מידע על הרזולוציות הנפוצות ביותר. בזמן הכתיבה, ההחלטות נוטות להיות גדולות יותר או קטנות יותר מדוגמאות VM לעיל.

בצד אחד של הספקטרום, יש לך רזולוציה 1366 × 768 סטנדרטית למחשבים ניידים ו- 1920 × 1080 למסכי מחשב. בצד השני, תוכלו למצוא מסכים זעירים של 360 × 640 בשימוש - מדובר בסמארטפונים.

800 × 600 ו- 1024 × 768 לא מופיעים כלל. ההיפך של האחרון, 768 × 1024, קיים; זו רזולוציית iPad. עם זאת, אפילו זה גוזל רק 2.6 אחוזים, כלומר 97.4 אחוז מהמכשירים משתמשים ברזולוציות שונות.

כיצד תוכנות זדוניות משתמשות בנתונים אלה כדי להימנע מ- VMs

ככאלה, כאשר תוכנות זדוניות נוחתות על מחשב מארח ומציין שהוא פועל על 800 × 600 או 1024 × 768, זה על חומרה מיושנת מאוד או - סביר יותר - שהם צופים בתוך וירטואלי מְכוֹנָה.

אם הנגיף פועל בתנאי זה, הוא ימסור את המשחק ממש תחת עיניו של חוקר וירוסים. כיוון שכך, על מנת להגן על סודותיה, התוכנה הזדונית במקום מסתיימת עצמית ואינה גורמת נזק.

מנקודת המבט של החוקר התוכנית רצה ולא הדביקה את המחשב האישי, ולכן היא חייבת להיות שפירה. לאחר מכן הם עשויים להקצות דוח שלילי כוזב לתוכנית, ומאפשר לתוכנה הזדונית להמשיך הלאה לפני שהיא נתפסת לבסוף.

דוגמאות לבדיקת זדוניות של רזולוציה בעולם האמיתי

Trickbot הוא דוגמא מצוינת לטקטיקה זו בחיק הטבע. החוקרים הצליחו לפרוץ את זן הקוד הקוד של TrickBot וניתחו כיצד הוא עובד. משתמש טוויטר אחד המכונה Mak (@maciekkotowicz) מצא נתח קוד בתוך TrickBot הסורק רזולוציה של 800 × 600 או 1024 × 768.

של היום # טריקוט מעמיסים עם רזולוציית מסך #antivm טריק, אם יש לך רזולוציה של 800 × 600 או 1024 × 768 - אתה בטוח! ;] סמ"ק @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0

- mak (@maciekkotowicz) 30 ביוני 2020

בנתח הקוד הזה הנגיף תופס את ערכי ה- X ו- Y ברזולוציית המחשב ואז משלב ביניהם כדי לראות את התוצאה. אם התוצאה שווה בין 800 × 600 או 1024 × 768, הקוד מחזיר את המספר 0. זה אומר לתוכנה הזדונית שהיא פועלת ב- VM.

ברגע שהתוכנה הזדונית יודעת שהיא נמצאת בתוך מחשב וירטואלי, היא משמידה את עצמה כדי להימנע מגילוי. כתוצאה מכך, כל מי שבודק וירוסים במחשב וירטואלי יראה בטעות כי הוא בטוח.

מה הטקטיק הזה אומר לך

כמובן, משמעות הדבר היא שאם השתמשת ברזולוציית 1024 × 768 או 800 × 600, תהיה לך הגנה מפני זנים מסוימים של תוכנות זדוניות. ברגע שהם יגיעו, הם יציינו את הרזולוציה שלך ויפוצו את עצמם לפני שהם יגרמו נזק כלשהו. עם זאת, מה שתשיג בהגנה, תאבד את שפיותך על ידי שימוש במחשב ברזולוציה כל כך צפופה!

מכיוון שכך, הדבר הטוב ביותר שלך להילחם בזן חדש זה של תוכנות זדוניות הוא לעדכן את האנטי-וירוס שלך. כעת, כאשר הטריק הזה נגד ה- VM הוא ידע ציבורי, לא סביר שחברות האבטחה המתקדמות ישתנו שוב.

עם זאת, חשוב לציין אם יש לך נטייה לבדוק קבצים במחשבים הווירטואליים שלך. אם ה- VM שלך פועל במהירות 800 × 600 או 1024 × 768, כדאי להגדיר אותו לרזולוציה פופולרית יותר. אם לא, אינך יכול להיות בטוח אם הקובץ שאתה בודק הותקן אמצעי זהירות נגד VM.

שמירה על בטיחות מפני וירוסים ערמומיים

כאשר אבטחת הרשת הופכת לתעשייה הענקית שהיא, מפתחי תוכנות זדוניות נדרשות להסתגל כדי להישאר צעד אחד קדימה. זנים חדשים של תוכנות זדוניות יתחמקו מלכידה אם מופעלים ב- VM לא מוכן, כך שאם אתה משתמש ב- VM לבדיקת וירוסים, הקפד לזכור זאת.

האנטי-וירוס הטוב ביותר הוא השכל הישר, אז מדוע לא ללמוד את זה דרכים קלות לעולם לא לקבל וירוס 10 דרכים קלות לעולם לא לקבל וירוסעם מעט טירונות, תוכלו להימנע לחלוטין מבעיית הנגיפים והתוכנות הזדוניות במחשבים ובמכשירים הניידים שלכם. עכשיו תוכלו להירגע וליהנות מהאינטרנט! קרא עוד ?

גילוי שותפים: על ידי רכישת המוצרים שאנו ממליצים, אתה עוזר להחיות את האתר. קרא עוד.

בוגר תואר ראשון במדעי המחשב עם תשוקה עמוקה לכל ביטחון הדברים. לאחר שעבד באולפן משחקי אינדי, הוא מצא את תשוקתו לכתיבה והחליט להשתמש במערך המיומנות שלו כדי לכתוב על כל הדברים הטכניים.