Seit Jahren kommt es zu heftigen Konfrontationen zwischen Malware-Entwicklern und Cybersicherheitsexperten. Vor kurzem hat die Malware-Entwickler-Community eine neue Strategie implementiert, um eine Erkennung zu vermeiden: Überprüfen Sie die Bildschirmauflösung.
Lassen Sie uns untersuchen, warum die Bildschirmauflösung für Malware wichtig ist und was sie für Sie bedeutet.
Warum kümmert sich Malware um die Bildschirmauflösung?
Um zu verstehen, warum Malware sich um die Bildschirmauflösung kümmert, betrachten Sie einen der Erzfeinde von Malware: virtuelle Maschinen .
Virtuelle Maschinen sind ein nützliches Werkzeug für Virenforscher. Sie funktionieren wie ein Computer in einem anderen, sodass Sie ein anderes Betriebssystem verwenden können, ohne einen neuen PC zu benötigen.
Wenn Sie beispielsweise einen Windows 10-Computer haben, aber Linux verwenden möchten, können Sie in Windows 10 eine virtuelle Maschine einrichten, auf der Linux ausgeführt wird. Es funktioniert wie ein Linux-Computer, läuft aber in einem Fenster unter Windows 10.
Virtuelle Maschinen sind für Virenforscher sehr nützlich, da sie wie eine digitale Fliegenfalle wirken. Wenn ein Forscher glaubt, dass ein Programm oder eine Datei einen Virus enthält, kann er es testen, indem er es in einer virtuellen Maschine ausführt.
Wenn die Datei einen Virus enthält, beginnt dieser, die virtuelle Maschine zu infizieren. Da eine virtuelle Maschine so eingerichtet ist, dass sie wie eine reale Maschine aussieht, geht der Virus davon aus, dass er einen echten PC und keine virtuelle Maschine infiziert hat. Dadurch beginnt es, seine Nutzlast auszuliefern und der virtuellen Maschine Schaden zuzufügen. Glücklicherweise kann der Virus auf dem Hauptcomputer keinen Schaden anrichten. Es betrifft nur virtuelle Maschinen.
Sobald der Virus entdeckt wird, können Forscher lernen, wie er funktioniert, und dann die virtuelle Maschine zurücksetzen. Als nächstes nutzten sie das, was sie von der virtuellen Maschine gelernt hatten, und erstellten damit Virendefinitionen, um Benutzer auf realen Computern zu schützen. Aus diesem Grund sind virtuelle Maschinen eine Feindseligkeit für Malware-Entwickler.
Welche Rolle spielt dabei die Bildschirmauflösung?
Es gibt einen Fehler bei dieser Anwendungstestmethode. Wenn Malware-Forscher eine virtuelle Maschine erstellen, kümmern sie sich nicht wirklich um alle zusätzlichen Funktionen. Zum Testen auf Viren benötigen sie lediglich eine virtuelle Maschine, die sich wie ein normaler Computer verhält, alles andere ist nur optional.
Daher installieren Forscher manchmal die Gastsoftware der VM nicht. Diese Software ermöglichte zusätzliche Funktionen wie eine höhere Bildschirmauflösung, die der Forscher nicht wirklich benötigte. Wenn der Benutzer keine Client-Software verwendet, legt die VM den Benutzer normalerweise auf eine von zwei niedrigen Auflösungen fest: 800 x 600 und 1024 x 768.
Diese beiden Lösungen sind für einen Malware-Entwickler sehr wichtig. Moderne Computer und Laptops verfügen oft nicht über Bildschirme mit dieser Auflösung. Diese Größe ist sehr veraltet.
Beliebte Geräteauflösungen
Wie nutzt Malware diese Daten, um VMs zu umgehen?
Wenn also Malware auf einem Host-Computer auftritt und festgestellt wird, dass sie mit einer Auflösung von 800 x 600 oder 1024 x 768 ausgeführt wird, bedeutet dies, dass die Malware wahrscheinlich auf sehr veralteter oder möglicherweise leistungsfähiger Hardware ausgeführt wird. Überwachte Funktionen in einer virtuellen Maschine .
Wenn der Virus unter diesen Bedingungen agiert, wird er exponiert. Um sich selbst zu schützen, wird Malware von selbst beendet und verursacht keinen Schaden.
Aus Sicht des Forschers lief das Programm und infizierte den PC nicht, es handelte sich also nicht um einen Virus. Sie können dann falsche Annahmen über das Programm treffen, sodass sich die Malware weiter ausbreiten kann, bevor sie entdeckt wird.
Beispiel für Malware, die die Auflösung in der Praxis testet
Trickbot ist ein großartiges Beispiel für diese Taktik in der Praxis. Forschern gelang es kürzlich, in eine Codezeile von TrickBot einzudringen und zu analysieren, wie sie funktioniert. Ein Twitter-Benutzer namens Mak (@maciekkotowicz) hat in TrickBot einen Code gefunden, der eine Auflösung von 800×600 oder 1024×768 scannt.
Code in TrickBot scannt mit einer Auflösung von 800×600 oder 1024×768
In diesem Code nimmt der Virus die X- und Y-Werte der Computerauflösung und kombiniert sie dann, um das Ergebnis anzuzeigen. Wenn das Ergebnis 800×600 oder 1024×768 ist, gibt der Code 0 zurück. Dies weist darauf hin, dass Malware in einer virtuellen Maschine ausgeführt wird.
Sobald die Malware erkennt, dass sie sich in einer virtuellen Maschine befindet, zerstört sie sich selbst, um einer Entdeckung zu entgehen. Daher wird jeder, der eine virtuelle Maschine auf Viren überprüft, sie als sicher betrachten.
Was bedeutet diese Strategie für Sie?
Das bedeutet natürlich, dass Sie vor einigen Arten von Malware geschützt sind, wenn Sie eine Auflösung von 1024 x 768 oder 800 x 600 verwenden. Sobald sie das System erreichen, werden sie Ihre Lösung bemerken und sich selbst zerstören, bevor sie Schaden anrichten. Um diesen Schutz zu erhalten, müssen Sie jedoch einen Computer mit einer sehr kleinen Auflösung verwenden!
Der beste Weg, diese neue Art von Malware zu bekämpfen, besteht daher darin, Ihre Antivirensoftware zu aktualisieren . Mittlerweile ist dieser Anti-VM-Trick öffentlich bekannt, sodass es höchst unwahrscheinlich ist, dass High-End-Sicherheitsunternehmen erneut getäuscht werden.
Dies ist jedoch besonders wichtig, wenn Sie Dateien in Ihren eigenen virtuellen Maschinen überprüfen. Wenn Ihre virtuelle Maschine mit 800 x 600 oder 1024 x 768 läuft, kann es sich lohnen, sie auf die gängigere Auflösung einzustellen. Wenn Sie dies nicht tun, können Sie nicht sicher sein, ob in der Datei, die Sie überprüfen, diese Anti-VM-Vorkehrung installiert ist.