マルウェアが画面解像度を使用して検出を回避する方法

マルウェア画面の解決

長年にわたって、マルウェア開発者とサイバーセキュリティの専門家は、戦うために戦っています。最近、マルウェア開発者コミュニティは、検出を回避するための新しい戦略、画面解像度の制御を実装しました。

マルウェアにとって画面の解像度が重要である理由とそれがあなたにとって何を意味するのかを調べてみましょう。

マルウェアは画面の解像度を心配するため

マルウェアが画面の解像度を気にする理由を見つけるには、その最悪の敵の1つを調べる必要があります。 仮想マシン

仮想マシンはウイルス研究者にとって便利なツールです。これらは「コンピュータ内のコンピュータ」のように機能するため、新しいPCを必要とせずに別のオペレーティングシステムを使用できます。

たとえば、Windows 10コンピューターがあり、Linuxを使用したい場合は、Windows 10内で仮想マシンを構成してLinuxを実行できます。 Linuxマシンと同じように機能しますが、Windows 10のウィンドウで機能します。

仮想マシンはデジタル金星の罠として機能するため、ウイルス研究者にとって非常に有用です。プログラムまたはファイルにウイルスが含まれていると研究者が信じる場合、仮想マシン内で実行することによってテストできます。

ファイルにウイルスが含まれている場合は、仮想マシンへの感染が始まります。仮想マシンは実際のマシンとして構成されているため、ウイルスはそれが実際の非仮想PCに感染していると考えます。そのため、ペイロードの配信を開始し、仮想マシンに損傷を与えます。幸い、ウイルスがメインコンピュータに「もたらす」被害はありません。仮想にのみ影響します。

ウイルスがゲームを配布すると、研究者はそれがどのように機能するかを調査し、仮想マシンを復元できます。したがって、彼らは仮想マシンから学んだことを利用し、それを使用してウイルス定義を作成し、人々の実際のコンピューターを保護します。

このため、仮想マシンはマルウェア開発者の悩みの種です。プログラムにマルウェアが含まれていると疑われる場合は、仮想マシンでプログラムを起動し、不正なプログラムを削除できます。

画面の解像度はどこから来ますか?

このアプリのテスト方法には問題があります。マルウェアの研究者が仮想マシンを作成するとき、彼はすべての追加機能に本当に関心があるわけではありません。ウイルスをチェックするために必要なのは、通常のコンピューターのように機能する仮想マシンだけです。それ以外はすべてオプションです。

その結果、研究者はVMゲストソフトウェアをインストールしない場合があります。このソフトウェアは、研究者が実際に必要としない、より高い画面解像度などの追加機能を有効にします。ユーザーがゲストソフトウェアを使用しない場合、VMは通常、800×600および1024×768の2つの低解像度のいずれかでユーザーをロックします。

これら2つの解決策は、マルウェア開発者にとって重要です。最近のコンピューターやラップトップには通常、その解像度の画面はありません。それは非常に時代遅れです。

Statcounterグラフは、解像度の人気を示します

実際、最も使用されている解像度に関する情報を収集するStatcounterでそれがどれほど古いかを確認できます。この記事の執筆時点では、解像度は上記のVMの例よりも高いまたは低い傾向があります。

スペクトルの片側では、ラップトップの場合は標準の1366×768解像度、PCモニターの場合は1920×1080です。一方、360×640の小さな画面が使用されています。これらはスマートフォンです。

800×600および1024×768はまったく表示されません。後者の反対である768×1024が存在します。これはiPadの解像度です。ただし、これも2.6%しか占めていません。つまり、デバイスの97.4%が異なる解像度を使用しています。

マルウェアがこのデータを使用して仮想マシンを回避する方法

したがって、マルウェアがホストコンピューターに到着し、800×600または1024×768で実行されていることに気づいた場合、マルウェアは非常に古いハードウェア上にあるか、おそらく仮想マシン内で見られます。

ウイルスがこの状態で動作すると、ウイルス研究者の目の前でゲームが贈られます。したがって、その秘密を保護するために、マルウェアは自己終了し、害を及ぼしません。

研究者の観点からは、プログラムは機能し、PCに感染しなかったため、無害である必要があります。次に、プログラムに偽陰性のレポートを割り当て、マルウェアが最終的に検出される前にさらに移動できるようにします。

実世界の解像度チェックマルウェアの例

Trickbotは、この戦術の優れた例です。研究者たちは、TrickBotコードの最近の緊張にうまく対処し、それがどのように機能するかを分析しました。 Mak(@maciekkotowicz)として知られるTwitterユーザーがTrickBot内で800×600または1024×768の解像度でクロールするコードを見つけました。

このコードでは、ウイルスはコンピューターの解像度のX値とY値を取得し、それらを組み合わせて結果を確認します。結果が800×600または1024×768の場合、コードは数値0を返します。これは、マルウェアでVMで実行されていることを示します。

マルウェアが仮想マシン内にあることを認識すると、検出を回避するために自己破壊します。その結果、仮想マシンでウイルスをチェックする人は誰でも、それを安全であると誤って見なします。

この戦術はあなたにとって何を意味しますか

明らかに、これは、1024×768または800×600の解像度を使用した場合、一部のマルウェア株から保護されることを意味します。彼らが到着するとすぐに、彼らはあなたの解決に気づき、ダメージを与える前に自分自身を爆発させます。ただし、保護の観点から得たものは、そのような限られた解像度のコンピューターを使用することによって正気を失うことになります!

したがって、この新しい種類のマルウェアと戦うための最良の解決策は、アンチウイルスを更新することです。このアンチVMトリックがパブリックドメインにあるため、ハイエンドのセキュリティ会社が再び騙されることはほとんどありません。

ただし、仮想マシンでファイルをテストする傾向がある場合は注意が必要です。 VMが800×600または1024×768で実行されている場合は、より一般的な解像度に設定する価値があります。そうでない場合、テストしているファイルがこのアンチVMの予防策をインストールしたことを確認できません。

ステルスウイルスから安全を守る

サイバーセキュリティが巨大産業になりつつある中、マルウェア開発者は一歩先を行くように適応する必要があります。新しいマルウェア株は、準備されていない仮想マシンで実行されると取得を免れるため、ウイルステストに仮想マシンを使用している場合は、それを覚えておいてください。

常識は最高のアンチウイルスです。 ウイルスに感染しない簡単な方法を学んでみませんか?

記事全体を読む: マルウェアが画面解像度を使用して検出を回避する方法

(出典)