Wie Malware die Bildschirmauflösung ausnutzt, um einer Erkennung zu entgehen

Wie Malware die Bildschirmauflösung ausnutzt, um einer Erkennung zu entgehen

Seit Jahren kommt es zu heftigen Konfrontationen zwischen Malware-Entwicklern und Cybersicherheitsexperten. Vor kurzem hat die Malware-Entwickler-Community eine neue Strategie implementiert, um eine Erkennung zu vermeiden: Überprüfen Sie die Bildschirmauflösung.

Lassen Sie uns untersuchen, warum die Bildschirmauflösung für Malware wichtig ist und was sie für Sie bedeutet.

Warum kümmert sich Malware um die Bildschirmauflösung?

Um zu verstehen, warum Malware sich um die Bildschirmauflösung kümmert, betrachten Sie einen der Erzfeinde von Malware: virtuelle Maschinen .

Virtuelle Maschinen sind ein nützliches Werkzeug für Virenforscher. Sie funktionieren wie ein Computer in einem anderen, sodass Sie ein anderes Betriebssystem verwenden können, ohne einen neuen PC zu benötigen.

Wenn Sie beispielsweise einen Windows 10-Computer haben, aber Linux verwenden möchten, können Sie in Windows 10 eine virtuelle Maschine einrichten, auf der Linux ausgeführt wird. Es funktioniert wie ein Linux-Computer, läuft aber in einem Fenster unter Windows 10.

Virtuelle Maschinen sind für Virenforscher sehr nützlich, da sie wie eine digitale Fliegenfalle wirken. Wenn ein Forscher glaubt, dass ein Programm oder eine Datei einen Virus enthält, kann er es testen, indem er es in einer virtuellen Maschine ausführt.

Wenn die Datei einen Virus enthält, beginnt dieser, die virtuelle Maschine zu infizieren. Da eine virtuelle Maschine so eingerichtet ist, dass sie wie eine reale Maschine aussieht, geht der Virus davon aus, dass er einen echten PC und keine virtuelle Maschine infiziert hat. Dadurch beginnt es, seine Nutzlast auszuliefern und der virtuellen Maschine Schaden zuzufügen. Glücklicherweise kann der Virus auf dem Hauptcomputer keinen Schaden anrichten. Es betrifft nur virtuelle Maschinen.

Sobald der Virus entdeckt wird, können Forscher lernen, wie er funktioniert, und dann die virtuelle Maschine zurücksetzen. Als nächstes nutzten sie das, was sie von der virtuellen Maschine gelernt hatten, und erstellten damit Virendefinitionen, um Benutzer auf realen Computern zu schützen. Aus diesem Grund sind virtuelle Maschinen eine Feindseligkeit für Malware-Entwickler.

Welche Rolle spielt dabei die Bildschirmauflösung?

Es gibt einen Fehler bei dieser Anwendungstestmethode. Wenn Malware-Forscher eine virtuelle Maschine erstellen, kümmern sie sich nicht wirklich um alle zusätzlichen Funktionen. Zum Testen auf Viren benötigen sie lediglich eine virtuelle Maschine, die sich wie ein normaler Computer verhält, alles andere ist nur optional.

Daher installieren Forscher manchmal die Gastsoftware der VM nicht. Diese Software ermöglichte zusätzliche Funktionen wie eine höhere Bildschirmauflösung, die der Forscher nicht wirklich benötigte. Wenn der Benutzer keine Client-Software verwendet, legt die VM den Benutzer normalerweise auf eine von zwei niedrigen Auflösungen fest: 800 x 600 und 1024 x 768.

Diese beiden Lösungen sind für einen Malware-Entwickler sehr wichtig. Moderne Computer und Laptops verfügen oft nicht über Bildschirme mit dieser Auflösung. Diese Größe ist sehr veraltet.

Beliebte Geräteauflösungen

Wie nutzt Malware diese Daten, um VMs zu umgehen?

Wenn also Malware auf einem Host-Computer auftritt und festgestellt wird, dass sie mit einer Auflösung von 800 x 600 oder 1024 x 768 ausgeführt wird, bedeutet dies, dass die Malware wahrscheinlich auf sehr veralteter oder möglicherweise leistungsfähiger Hardware ausgeführt wird. Überwachte Funktionen in einer virtuellen Maschine .

Wenn der Virus unter diesen Bedingungen agiert, wird er exponiert. Um sich selbst zu schützen, wird Malware von selbst beendet und verursacht keinen Schaden.

Aus Sicht des Forschers lief das Programm und infizierte den PC nicht, es handelte sich also nicht um einen Virus. Sie können dann falsche Annahmen über das Programm treffen, sodass sich die Malware weiter ausbreiten kann, bevor sie entdeckt wird.

Beispiel für Malware, die die Auflösung in der Praxis testet

Trickbot ist ein großartiges Beispiel für diese Taktik in der Praxis. Forschern gelang es kürzlich, in eine Codezeile von TrickBot einzudringen und zu analysieren, wie sie funktioniert. Ein Twitter-Benutzer namens Mak (@maciekkotowicz) hat in TrickBot einen Code gefunden, der eine Auflösung von 800×600 oder 1024×768 scannt.

Wie Malware die Bildschirmauflösung ausnutzt, um einer Erkennung zu entgehen

Code in TrickBot scannt mit einer Auflösung von 800×600 oder 1024×768

In diesem Code nimmt der Virus die X- und Y-Werte der Computerauflösung und kombiniert sie dann, um das Ergebnis anzuzeigen. Wenn das Ergebnis 800×600 oder 1024×768 ist, gibt der Code 0 zurück. Dies weist darauf hin, dass Malware in einer virtuellen Maschine ausgeführt wird.

Sobald die Malware erkennt, dass sie sich in einer virtuellen Maschine befindet, zerstört sie sich selbst, um einer Entdeckung zu entgehen. Daher wird jeder, der eine virtuelle Maschine auf Viren überprüft, sie als sicher betrachten.

Was bedeutet diese Strategie für Sie?

Das bedeutet natürlich, dass Sie vor einigen Arten von Malware geschützt sind, wenn Sie eine Auflösung von 1024 x 768 oder 800 x 600 verwenden. Sobald sie das System erreichen, werden sie Ihre Lösung bemerken und sich selbst zerstören, bevor sie Schaden anrichten. Um diesen Schutz zu erhalten, müssen Sie jedoch einen Computer mit einer sehr kleinen Auflösung verwenden!

Der beste Weg, diese neue Art von Malware zu bekämpfen, besteht daher darin, Ihre Antivirensoftware zu aktualisieren . Mittlerweile ist dieser Anti-VM-Trick öffentlich bekannt, sodass es höchst unwahrscheinlich ist, dass High-End-Sicherheitsunternehmen erneut getäuscht werden.

Dies ist jedoch besonders wichtig, wenn Sie Dateien in Ihren eigenen virtuellen Maschinen überprüfen. Wenn Ihre virtuelle Maschine mit 800 x 600 oder 1024 x 768 läuft, kann es sich lohnen, sie auf die gängigere Auflösung einzustellen. Wenn Sie dies nicht tun, können Sie nicht sicher sein, ob in der Datei, die Sie überprüfen, diese Anti-VM-Vorkehrung installiert ist.


So installieren Sie das macOS Big Sur/iOS 14-Widget unter Windows 10

So installieren Sie das macOS Big Sur/iOS 14-Widget unter Windows 10

Die macOS Big Sur-Version wurde kürzlich auf der WWDC-Konferenz offiziell angekündigt. Und mit dem Rainmeter-Tool können Sie die Benutzeroberfläche von macOS Big Sur vollständig auf Windows 10 übertragen.

So schützen Sie den Remote-Desktop vor RDStealer-Malware

So schützen Sie den Remote-Desktop vor RDStealer-Malware

RDStealer ist Malware, die versucht, Anmeldeinformationen und Daten zu stehlen, indem sie einen RDP-Server infiziert und seine Remote-Verbindungen überwacht.

Die 7 besten Dateiverwaltungsprogramme für Windows als Ersatz für den Datei-Explorer

Die 7 besten Dateiverwaltungsprogramme für Windows als Ersatz für den Datei-Explorer

Vielleicht ist es an der Zeit, sich vom Datei-Explorer zu verabschieden und Dateiverwaltungssoftware von Drittanbietern zu verwenden? Hier sind die 7 besten Windows-Datei-Explorer-Alternativen.

Wie funktioniert LoRaWAN? Warum ist es für das IoT wichtig?

Wie funktioniert LoRaWAN? Warum ist es für das IoT wichtig?

LoRaWAN oder Long Range Wireless Area Network ist nützlich für die Kommunikation zwischen Geräten mit geringem Stromverbrauch über große Entfernungen.

8 Möglichkeiten, die erweiterten Startoptionen unter Windows 10 zu öffnen

8 Möglichkeiten, die erweiterten Startoptionen unter Windows 10 zu öffnen

Durch Navigieren zu „Erweiterte Startoptionen“ können Sie Windows 10 zurücksetzen, Windows 10 wiederherstellen, Windows 10 aus einer zuvor erstellten Image-Datei wiederherstellen, Startfehler beheben, die Eingabeaufforderung öffnen, um Optionen auszuführen, andere auswählen, UEFI-Einstellungen öffnen und Starteinstellungen ändern. ..

Warum sollten Sie sorgfältig überlegen, bevor Sie sich mit einem Konto bei einem sozialen Netzwerk anmelden?

Warum sollten Sie sorgfältig überlegen, bevor Sie sich mit einem Konto bei einem sozialen Netzwerk anmelden?

Jedes Mal, wenn Sie sich für einen neuen Dienst anmelden, können Sie einen Benutzernamen und ein Passwort wählen oder sich einfach mit Facebook oder Twitter anmelden. Aber solltest du es tun?

Anleitung zum Ändern von Google DNS 8.8.8.8 und 8.8.4.4

Anleitung zum Ändern von Google DNS 8.8.8.8 und 8.8.4.4

DNS Google 8.8.8.8 8.8.4.4 ist einer der DNS, den viele Benutzer verwenden, insbesondere um den Netzwerkzugriff zu beschleunigen oder den Zugriff auf blockiertes Facebook zu beschleunigen.

So starten Sie Microsoft Edge unter Windows 10 immer im InPrivate-Modus

So starten Sie Microsoft Edge unter Windows 10 immer im InPrivate-Modus

Wenn Sie Microsoft Edge auf einem gemeinsam genutzten Windows 10-Computer verwenden und Ihren Browserverlauf privat halten möchten, können Sie festlegen, dass Edge immer im InPrivate-Modus startet.

Entdecken Sie den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung

Entdecken Sie den Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung

Heutzutage werden üblicherweise zwei Arten der Verschlüsselung eingesetzt: die symmetrische und die asymmetrische Verschlüsselung. Der grundlegende Unterschied zwischen diesen beiden Verschlüsselungsarten besteht darin, dass bei der symmetrischen Verschlüsselung ein einziger Schlüssel sowohl für Verschlüsselungs- als auch für Entschlüsselungsvorgänge verwendet wird.

So beenden Sie den Vollbildmodus unter Windows

So beenden Sie den Vollbildmodus unter Windows

Der Vollbildmodus auf Ihrem Computer entfernt unnötige Inhalte. Wie kann man den Windows-Vollbildmodus verlassen?