Comment les logiciels malveillants utilisent la résolution d’écran pour éviter la détection

Au fil des ans, les développeurs de logiciels malveillants et les experts en cybersécurité ont été en guerre pour essayer de s’unir. Récemment, la communauté des développeurs de logiciels malveillants a déployé une nouvelle stratégie pour éviter la détection: vérifier la résolution de l’écran.

Explorons pourquoi la résolution d’écran est importante pour les logiciels malveillants et ce qu’elle signifie pour vous.

Pourquoi les logiciels malveillants se soucient de la résolution de l’écran

Pour découvrir pourquoi les logiciels malveillants se soucient de la résolution de l’écran, nous devons jeter un coup d’œil à l’un de ses pires ennemis; la machine virtuelle.

Les machines virtuelles sont un outil utile pour les chercheurs de virus. Ils agissent comme un «ordinateur à l’intérieur d’un ordinateur», de sorte que vous pouvez utiliser un autre système d’exploitation sans avoir besoin d’un nouveau PC.

Par exemple, si vous avez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle dans Windows 10 pour exécuter Linux. Il agira comme une machine Linux mais fonctionnera dans une fenêtre sous Windows 10.

Les machines virtuelles sont très utiles pour les chercheurs de virus, car elles agissent comme un piège à mouches Vénus numérique. Si un chercheur pense qu’un programme ou un fichier contient un virus, il peut le tester en l’exécutant dans une machine virtuelle.

Publicité

Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Parce qu’une machine virtuelle est configurée comme une vraie, le virus pense qu’elle infecte un vrai PC et non un virtuel. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, aucun des dommages causés par un virus ne «reporte» sur l’ordinateur principal; il n’affecte que le virtuel.

Une fois que le virus a donné le jeu, le chercheur peut étudier son fonctionnement puis réinitialiser la machine virtuelle. Ils prennent ensuite ce qu’ils ont appris de la machine virtuelle et l’utilisent pour créer des définitions de virus afin de protéger les vrais ordinateurs des gens.

Pour cette raison, les machines virtuelles sont le fléau des développeurs de logiciels malveillants. Si quelqu’un soupçonne qu’un programme contient un malware, il peut le démarrer dans une machine virtuelle et le nettoyer s’il est défectueux.

D’où vient la résolution d’écran?

Il y a un défaut avec cette méthode de test des applications. Lorsqu’un chercheur de logiciels malveillants crée une machine virtuelle, il n’est pas vraiment intéressé par toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester les virus est une machine virtuelle qui agit comme un ordinateur normal – tout le reste est facultatif.

Publicité

En conséquence, les chercheurs n’installent parfois pas le logiciel invité de la VM. Ce logiciel permet des fonctionnalités supplémentaires telles que des résolutions d’écran plus élevées, dont le chercheur n’a pas vraiment besoin. Si l’utilisateur n’utilise pas le logiciel invité, la machine virtuelle verrouille généralement l’utilisateur dans l’une des deux résolutions basses: 800 × 600 et 1024 × 768.

En relation :  11 raisons pour lesquelles vous avez besoin d'un VPN et de quoi il s'agit

Ces deux résolutions sont importantes pour un développeur de logiciels malveillants. Les ordinateurs et les ordinateurs portables modernes ne sont généralement pas équipés d’écrans à cette résolution; c’est très dépassé.

Le graphique de Statcounter montrant la popularité de la résolution

En fait, vous pouvez voir à quel point il est obsolète Statcounter, qui recueille des informations sur les résolutions les plus utilisées. Au moment de la rédaction de cet article, les résolutions ont tendance à être plus grandes ou plus petites que les exemples de VM ci-dessus.

Publicité

D’un côté du spectre, vous avez la résolution standard 1366 × 768 pour les ordinateurs portables et 1920 × 1080 pour les moniteurs PC. De l’autre côté, vous trouverez de minuscules écrans 360 × 640 utilisés – ce sont des smartphones.

800 × 600 et 1024 × 768 n’apparaissent pas du tout. Le revers de ce dernier, 768 × 1024, existe; ceci est une résolution iPad. Cependant, même cela ne prend que 2,6%, ce qui signifie que 97,4% des appareils utilisent des résolutions différentes.

Comment les logiciels malveillants utilisent ces données pour éviter les machines virtuelles

En tant que tel, lorsque le logiciel malveillant atterrit sur un ordinateur hôte et note qu’il s’exécute sur 800 × 600 ou 1024 × 768, il s’agit d’un matériel très obsolète ou, plus probablement, il est surveillé dans une machine virtuelle.

Si le virus fonctionne dans ces conditions, il donnera le jeu sous les yeux d’un chercheur de virus. En tant que tel, afin de protéger ses secrets, le malware s’arrête automatiquement et ne cause aucun dommage.

Publicité

Du point de vue du chercheur, le programme a fonctionné et n’a pas infecté le PC, il doit donc être bénin. Ils peuvent ensuite attribuer un faux rapport négatif au programme, permettant au logiciel malveillant de voyager plus loin avant d’être finalement détecté.

Exemples de logiciels malveillants vérifiant la résolution dans le monde réel

Trickbot est un excellent exemple de cette tactique dans la nature. Les chercheurs ont réussi à percer dans une récente souche de code de TrickBot et ont analysé son fonctionnement. Un utilisateur de Twitter connu sous le nom de Mak (@maciekkotowicz) a trouvé un morceau de code dans TrickBot qui analyse une résolution de 800 × 600 ou 1024 × 768.

Dans ce morceau de code, le virus saisit les valeurs X et Y de la résolution de l’ordinateur, puis les combine pour voir le résultat. Si le résultat est égal à 800 × 600 ou 1024 × 768, le code renvoie le numéro 0. Cela indique au logiciel malveillant qu’il s’exécute dans une machine virtuelle.

En relation :  5 raisons pour lesquelles vous devez cesser d'utiliser des VPN gratuits dès maintenant

Une fois que le malware sait qu’il se trouve dans une machine virtuelle, il s’autodétruit pour éviter d’être détecté. En conséquence, toute personne recherchant des virus dans une machine virtuelle la jugera à tort sûre.

Ce que cette tactique signifie pour vous

Bien sûr, cela signifie que si vous utilisez une résolution de 1024 × 768 ou 800 × 600, vous serez protégé contre certaines souches de logiciels malveillants. Dès leur arrivée, ils noteront votre résolution et s’auto-exploseront avant de faire des dégâts. Cependant, ce que vous gagnez en protection, vous le perdrez en santé mentale en utilisant un ordinateur avec une résolution aussi restreinte!

En tant que tel, votre meilleur pari pour lutter contre cette nouvelle souche de malware est de mettre à jour votre antivirus. Maintenant que cette astuce anti-VM est de notoriété publique, il est peu probable que les sociétés de sécurité haut de gamme soient à nouveau dupées.

Cependant, ceci est important à noter si vous avez tendance à tester des fichiers dans vos propres machines virtuelles. Si votre machine virtuelle fonctionne à 800 × 600 ou 1024 × 768, il vaut la peine de la définir sur une résolution plus populaire. Si vous ne le faites pas, vous ne pouvez pas être certain si le fichier que vous testez a cette précaution anti-VM installée.

Rester à l’abri des virus sournois

La cybersécurité devenant l’énorme industrie qu’elle est, les développeurs de logiciels malveillants doivent s’adapter pour garder une longueur d’avance. Les nouvelles souches de logiciels malveillants échapperont à la capture si elles sont exécutées sur une machine virtuelle non préparée, donc si vous utilisez des machines virtuelles pour tester les virus, n’oubliez pas de garder cela à l’esprit.

Le meilleur antivirus est le bon sens, alors pourquoi ne pas apprendre les moyens simples de ne jamais attraper un virus?

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.