Wie Malware die Bildschirmauflösung ausnutzt, um einer Erkennung zu entgehen

Wie Malware die Bildschirmauflösung ausnutzt, um einer Erkennung zu entgehen

Seit Jahren kommt es zu heftigen Konfrontationen zwischen Malware-Entwicklern und Cybersicherheitsexperten. Vor kurzem hat die Malware-Entwickler-Community eine neue Strategie implementiert, um eine Erkennung zu vermeiden: Überprüfen Sie die Bildschirmauflösung.

Lassen Sie uns untersuchen, warum die Bildschirmauflösung für Malware wichtig ist und was sie für Sie bedeutet.

Warum kümmert sich Malware um die Bildschirmauflösung?

Um zu verstehen, warum Malware sich um die Bildschirmauflösung kümmert, betrachten Sie einen der Erzfeinde von Malware: virtuelle Maschinen .

Virtuelle Maschinen sind ein nützliches Werkzeug für Virenforscher. Sie funktionieren wie ein Computer in einem anderen, sodass Sie ein anderes Betriebssystem verwenden können, ohne einen neuen PC zu benötigen.

Wenn Sie beispielsweise einen Windows 10-Computer haben, aber Linux verwenden möchten, können Sie in Windows 10 eine virtuelle Maschine einrichten, auf der Linux ausgeführt wird. Es funktioniert wie ein Linux-Computer, läuft aber in einem Fenster unter Windows 10.

Virtuelle Maschinen sind für Virenforscher sehr nützlich, da sie wie eine digitale Fliegenfalle wirken. Wenn ein Forscher glaubt, dass ein Programm oder eine Datei einen Virus enthält, kann er es testen, indem er es in einer virtuellen Maschine ausführt.

Wenn die Datei einen Virus enthält, beginnt dieser, die virtuelle Maschine zu infizieren. Da eine virtuelle Maschine so eingerichtet ist, dass sie wie eine reale Maschine aussieht, geht der Virus davon aus, dass er einen echten PC und keine virtuelle Maschine infiziert hat. Dadurch beginnt es, seine Nutzlast auszuliefern und der virtuellen Maschine Schaden zuzufügen. Glücklicherweise kann der Virus auf dem Hauptcomputer keinen Schaden anrichten. Es betrifft nur virtuelle Maschinen.

Sobald der Virus entdeckt wird, können Forscher lernen, wie er funktioniert, und dann die virtuelle Maschine zurücksetzen. Als nächstes nutzten sie das, was sie von der virtuellen Maschine gelernt hatten, und erstellten damit Virendefinitionen, um Benutzer auf realen Computern zu schützen. Aus diesem Grund sind virtuelle Maschinen eine Feindseligkeit für Malware-Entwickler.

Welche Rolle spielt dabei die Bildschirmauflösung?

Es gibt einen Fehler bei dieser Anwendungstestmethode. Wenn Malware-Forscher eine virtuelle Maschine erstellen, kümmern sie sich nicht wirklich um alle zusätzlichen Funktionen. Zum Testen auf Viren benötigen sie lediglich eine virtuelle Maschine, die sich wie ein normaler Computer verhält, alles andere ist nur optional.

Daher installieren Forscher manchmal die Gastsoftware der VM nicht. Diese Software ermöglichte zusätzliche Funktionen wie eine höhere Bildschirmauflösung, die der Forscher nicht wirklich benötigte. Wenn der Benutzer keine Client-Software verwendet, legt die VM den Benutzer normalerweise auf eine von zwei niedrigen Auflösungen fest: 800 x 600 und 1024 x 768.

Diese beiden Lösungen sind für einen Malware-Entwickler sehr wichtig. Moderne Computer und Laptops verfügen oft nicht über Bildschirme mit dieser Auflösung. Diese Größe ist sehr veraltet.

Beliebte Geräteauflösungen

Wie nutzt Malware diese Daten, um VMs zu umgehen?

Wenn also Malware auf einem Host-Computer auftritt und festgestellt wird, dass sie mit einer Auflösung von 800 x 600 oder 1024 x 768 ausgeführt wird, bedeutet dies, dass die Malware wahrscheinlich auf sehr veralteter oder möglicherweise leistungsfähiger Hardware ausgeführt wird. Überwachte Funktionen in einer virtuellen Maschine .

Wenn der Virus unter diesen Bedingungen agiert, wird er exponiert. Um sich selbst zu schützen, wird Malware von selbst beendet und verursacht keinen Schaden.

Aus Sicht des Forschers lief das Programm und infizierte den PC nicht, es handelte sich also nicht um einen Virus. Sie können dann falsche Annahmen über das Programm treffen, sodass sich die Malware weiter ausbreiten kann, bevor sie entdeckt wird.

Beispiel für Malware, die die Auflösung in der Praxis testet

Trickbot ist ein großartiges Beispiel für diese Taktik in der Praxis. Forschern gelang es kürzlich, in eine Codezeile von TrickBot einzudringen und zu analysieren, wie sie funktioniert. Ein Twitter-Benutzer namens Mak (@maciekkotowicz) hat in TrickBot einen Code gefunden, der eine Auflösung von 800×600 oder 1024×768 scannt.

Wie Malware die Bildschirmauflösung ausnutzt, um einer Erkennung zu entgehen

Code in TrickBot scannt mit einer Auflösung von 800×600 oder 1024×768

In diesem Code nimmt der Virus die X- und Y-Werte der Computerauflösung und kombiniert sie dann, um das Ergebnis anzuzeigen. Wenn das Ergebnis 800×600 oder 1024×768 ist, gibt der Code 0 zurück. Dies weist darauf hin, dass Malware in einer virtuellen Maschine ausgeführt wird.

Sobald die Malware erkennt, dass sie sich in einer virtuellen Maschine befindet, zerstört sie sich selbst, um einer Entdeckung zu entgehen. Daher wird jeder, der eine virtuelle Maschine auf Viren überprüft, sie als sicher betrachten.

Was bedeutet diese Strategie für Sie?

Das bedeutet natürlich, dass Sie vor einigen Arten von Malware geschützt sind, wenn Sie eine Auflösung von 1024 x 768 oder 800 x 600 verwenden. Sobald sie das System erreichen, werden sie Ihre Lösung bemerken und sich selbst zerstören, bevor sie Schaden anrichten. Um diesen Schutz zu erhalten, müssen Sie jedoch einen Computer mit einer sehr kleinen Auflösung verwenden!

Der beste Weg, diese neue Art von Malware zu bekämpfen, besteht daher darin, Ihre Antivirensoftware zu aktualisieren . Mittlerweile ist dieser Anti-VM-Trick öffentlich bekannt, sodass es höchst unwahrscheinlich ist, dass High-End-Sicherheitsunternehmen erneut getäuscht werden.

Dies ist jedoch besonders wichtig, wenn Sie Dateien in Ihren eigenen virtuellen Maschinen überprüfen. Wenn Ihre virtuelle Maschine mit 800 x 600 oder 1024 x 768 läuft, kann es sich lohnen, sie auf die gängigere Auflösung einzustellen. Wenn Sie dies nicht tun, können Sie nicht sicher sein, ob in der Datei, die Sie überprüfen, diese Anti-VM-Vorkehrung installiert ist.


Wie schützt man Geräte vor dem ZombieLoad-Angriff?

Wie schützt man Geräte vor dem ZombieLoad-Angriff?

Kürzlich wurde eine neue Schwachstelle auf Intel-Prozessorchips namens ZombieLoad entdeckt, die bei den Benutzern Anlass zur Sorge gibt. Wenn Sie nach Möglichkeiten suchen, Ihre Geräte zu schützen, sind Sie bei uns genau richtig.

So heften Sie Text und Bilder an den Windows 10-Zwischenablageverlauf

So heften Sie Text und Bilder an den Windows 10-Zwischenablageverlauf

Windows 10 erleichtert das Kopieren und Einfügen mit einer Funktion namens „Zwischenablageverlauf“. Damit können Sie Elemente, die Sie häufig kopieren und einfügen, für einen schnellen Zugriff in einer Liste anheften. Hier erfahren Sie, wie Sie diese Funktion verwenden.

So aktivieren Sie den AHCI-Modus in Windows 10

So aktivieren Sie den AHCI-Modus in Windows 10

Das einzige Problem bei der Verwendung des AHCI-Modus besteht darin, dass er nach der Installation von Windows nicht geändert werden kann. Sie müssen daher den AHCI-Modus im BIOS festlegen, bevor Sie Windows installieren. Zum Glück gibt es dafür eine Lösung.

So entfernen Sie Adware unter Windows mit dem Bitdefender Adware Removal Tool

So entfernen Sie Adware unter Windows mit dem Bitdefender Adware Removal Tool

Das Bitdefender Adware Removal Tool ist ein Systemsicherheitstool zum Schutz vor bösartiger Adware, die persönliche Daten auf Ihrem Computer bedroht.

Unterschied zwischen 2,4 GHz und 5 GHz WLAN

Unterschied zwischen 2,4 GHz und 5 GHz WLAN

Sie haben sich gerade entschieden, Ihren alten Router auszutauschen. Wenn Sie die Verpackung Ihres neuen WLAN-Routers öffnen, fragen Sie sich vielleicht, warum es zwei Netzwerke gibt, 2,4 GHz und 5 GHz. Ist das 5-GHz-Netzwerk also stärker? Was ist der Unterschied zwischen ihnen?

Anweisungen zum Einrichten und Verwalten des FTP-Servers unter Windows 10

Anweisungen zum Einrichten und Verwalten des FTP-Servers unter Windows 10

Wenn Sie eine private Cloud zum unbegrenzten Teilen und Konvertieren großer Dateienmengen erstellen möchten, können Sie auf Ihrem Windows 10-Computer einen FTP-Server (File Transfer Protocol Server) erstellen.

SQL Server 2017 unter Linux trägt dazu bei, die Produktivität von Unternehmen zu steigern

SQL Server 2017 unter Linux trägt dazu bei, die Produktivität von Unternehmen zu steigern

Das Finanzunternehmen dv01 hat die SQL-Funktionen genutzt und seine Linux-Experten zu frühen Anwendern von SQL Server 2017 gemacht.

So reinigen Sie Windows 10 mit Trend Cleaner

So reinigen Sie Windows 10 mit Trend Cleaner

Trend Cleaner ist eine Anwendung zum Löschen von Junk-Dateien und zum Bereinigen von Windows 10, um das System zu beschleunigen.

Sammlung von mehr als 40 hochauflösenden Thanos-Hintergrundbildern für Computer

Sammlung von mehr als 40 hochauflösenden Thanos-Hintergrundbildern für Computer

Die Thanos-Hintergrundbilder in diesem Artikel werden in allen Auflösungen für alle Computer und Laptops verfügbar sein

So installieren Sie Android parallel zu Windows mit Remix OS

So installieren Sie Android parallel zu Windows mit Remix OS

Hersteller Jide hat Remix OS 3.0 Dual Boot aktualisiert, um 32-Bit- und 64-Bit-Windows-Plattformen zu unterstützen, sodass Sie Android parallel zu Windows installieren können.