A lo largo de los años, los desarrolladores de malware y los expertos en ciberseguridad han estado en guerra tratando de enfrentarse entre sí. Recientemente, la comunidad de desarrolladores de malware implementó una nueva estrategia para evadir la detección: verificar la resolución de la pantalla.
Exploremos por qué la resolución de pantalla es importante para el malware y qué significa para usted.
Por qué el malware se preocupa por la resolución de pantalla
Para descubrir por qué el malware se preocupa por la resolución de la pantalla, tenemos que echar un vistazo a uno de sus peores enemigos; el máquina virtual ¿Qué es una máquina virtual? Todo lo que necesitas saberLas máquinas virtuales le permiten ejecutar otros sistemas operativos en su computadora actual. Esto es lo que debes saber sobre ellos. Lee mas .
Las máquinas virtuales son una herramienta útil para los investigadores de virus. Actúan como una "computadora dentro de una computadora", por lo que puede usar otro sistema operativo sin necesidad de una nueva PC.
Por ejemplo, si tiene una computadora con Windows 10 pero desea usar Linux, puede configurar una máquina virtual dentro de Windows 10 para ejecutar Linux. Actuará como una máquina Linux pero se ejecuta en una ventana en Windows 10.
Las máquinas virtuales son muy útiles para los investigadores de virus, ya que actúan como una trampa de moscas digital de Venus. Si un investigador cree que un programa o archivo contiene un virus, puede probarlo ejecutándolo dentro de una máquina virtual.
Si el archivo contiene un virus, comenzará a infectar la máquina virtual. Debido a que una máquina virtual está configurada como una real, el virus cree que está infectando una PC real y no una virtual. Como tal, comienza a entregar su carga útil y a dañar la máquina virtual. Afortunadamente, ninguno de los daños que un virus "transfiere" a la computadora principal; solo afecta al virtual.
Una vez que el virus ha regalado el juego, el investigador puede estudiar cómo funciona y luego reiniciar la máquina virtual. Luego toman lo que aprendieron de la máquina virtual y lo usan para crear definiciones de virus para proteger las computadoras reales de las personas.
Debido a esto, las máquinas virtuales son la ruina de los desarrolladores de malware. Si alguien sospecha que un programa alberga malware, puede iniciarlo en una máquina virtual y eliminarlo si es malo.
¿Dónde entra la resolución de pantalla en esto?
Hay un defecto con este método de prueba de aplicaciones. Cuando un investigador de malware crea una máquina virtual, no está realmente interesado en todas las funciones adicionales. Todo lo que necesitan para detectar virus es una máquina virtual que actúe como una computadora normal; todo lo demás es opcional.
Como resultado, los investigadores a veces no instalan el software invitado de la VM. Este software habilita funciones adicionales, como resoluciones de pantalla más altas, que el investigador realmente no necesita. Si el usuario no usa el software invitado, la máquina virtual generalmente lo bloquea en una de dos resoluciones bajas: 800 × 600 y 1024 × 768.
Estas dos resoluciones son importantes para un desarrollador de malware. Las computadoras y laptops modernas no suelen tener pantallas con esa resolución; Está muy anticuado.
De hecho, puedes ver lo anticuado que está en Statcounter, que recopila información sobre las resoluciones más utilizadas. Al momento de escribir, las resoluciones tienden a ser más grandes o más pequeñas que los ejemplos de VM anteriores.
En un lado del espectro, tiene la resolución estándar de 1366 × 768 para computadoras portátiles y 1920 × 1080 para monitores de PC. Por otro lado, encontrará pequeñas pantallas de 360 × 640 en uso, esos son teléfonos inteligentes.
800 × 600 y 1024 × 768 no aparecen en absoluto. El reverso de este último, 768 × 1024, existe; Esta es una resolución de iPad. Sin embargo, incluso esto solo ocupa un 2.6 por ciento, lo que significa que el 97.4 por ciento de los dispositivos usan diferentes resoluciones.
Cómo el malware utiliza estos datos para evitar máquinas virtuales
Como tal, cuando el malware cae en una computadora host y observa que se está ejecutando en 800 × 600 o 1024 × 768, ya sea en hardware muy desactualizado o, lo más probable, están siendo observados dentro de un servidor virtual máquina.
Si el virus funciona bajo esta condición, entregará el juego ante los ojos de un investigador de virus. Como tal, para proteger sus secretos, el malware termina automáticamente y no causa daños.
Desde la perspectiva del investigador, el programa se ejecutó y no infectó la PC, por lo que debe ser benigno. Luego pueden asignar un informe falso negativo para el programa, permitiendo que el malware viaje más lejos antes de que finalmente sea detectado.
Ejemplos de malware de comprobación de resolución en el mundo real
Trickbot es un excelente ejemplo de esta táctica en la naturaleza. Los investigadores lograron entrar en una cepa reciente del código de TrickBot y analizaron cómo funciona. Un usuario de Twitter conocido como Mak (@maciekkotowicz) encontró un fragmento de código dentro de TrickBot que busca una resolución de 800 × 600 o 1024 × 768.
De hoy #Trickbot cargadores con una resolución de pantalla #antivm truco, si tienes una resolución de 800 × 600 o 1024 × 768, ¡estás a salvo! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 de junio de 2020
En este fragmento de código, el virus toma los valores X e Y de la resolución de la computadora y luego los combina para ver el resultado. Si el resultado es igual a 800 × 600 o 1024 × 768, el código devuelve el número 0. Esto le dice al malware que se está ejecutando en una VM.
Una vez que el malware sabe que está dentro de una máquina virtual, se autodestruye para evitar ser detectado. Como resultado, cualquiera que busque virus en una máquina virtual lo considerará incorrecto como seguro.
Qué significa esta táctica para ti
Por supuesto, esto significa que si utiliza una resolución de 1024 × 768 u 800 × 600, tendrá protección contra algunas cepas de malware. Tan pronto como lleguen, notarán su resolución y se autodetonarán antes de que hagan algún daño. Sin embargo, lo que gana en protección, perderá su cordura al usar una computadora con una resolución tan reducida.
Como tal, su mejor apuesta para combatir esta nueva variedad de malware es actualizar su antivirus. Ahora que este truco anti-VM es de conocimiento público, es poco probable que las empresas de seguridad de alto nivel vuelvan a engañarse.
Sin embargo, es importante tener en cuenta si tiene la tendencia a probar archivos en sus propias máquinas virtuales. Si su VM se ejecuta a 800 × 600 o 1024 × 768, vale la pena configurarla con una resolución más popular. Si no lo hace, no puede estar seguro de si el archivo que está probando tiene instalada esta precaución anti-VM.
Mantenerse a salvo de virus furtivos
Con la ciberseguridad convirtiéndose en la gran industria que es, los desarrolladores de malware tienen que adaptarse para mantenerse un paso adelante. Las nuevas cepas de malware evadirán la captura si se ejecutan en una máquina virtual no preparada, por lo que si usa máquinas virtuales para la prueba de virus, asegúrese de tener esto en cuenta.
El mejor antivirus es el sentido común, entonces, ¿por qué no aprender el maneras fáciles de nunca contraer un virus 10 maneras fáciles de nunca contraer un virusCon un poco de capacitación básica, puede evitar por completo el problema de los virus y el malware en sus computadoras y dispositivos móviles. ¡Ahora puedes calmarte y disfrutar de Internet! Lee mas ?
Divulgación de afiliados: Al comprar los productos que recomendamos, ayuda a mantener vivo el sitio. Lee mas.
Un graduado de Ciencias de la Computación con una profunda pasión por todo lo relacionado con la seguridad. Después de trabajar para un estudio de juegos independiente, encontró su pasión por la escritura y decidió usar su conjunto de habilidades para escribir sobre todo lo relacionado con la tecnología.
