マルウェアが画面解像度を利用して検出を回避する方法

マルウェアが画面解像度を利用して検出を回避する方法

長年にわたり、マルウェア開発者とサイバーセキュリティ専門家は緊張した対立を続けてきました。最近、マルウェア開発コミュニティは、検出を回避するために、画面解像度を確認するという新しい戦略を導入しました。

画面解像度がマルウェアにとって重要な理由と、それがあなたにとって何を意味するのかを見てみましょう。

なぜマルウェアは画面解像度を気にするのでしょうか?

マルウェアが画面解像度を気にする理由を理解するには、マルウェアの宿敵の 1 つである仮想マシンについて考えてみましょう。

仮想マシンはウイルス研究者にとって便利なツールです。これらは 1 つのコンピューター内で別のコンピューターのように機能するため、新しい PC を必要とせずに、別のオペレーティング システムを使用できます。

たとえば、Windows 10 コンピューターを持っているが Linux を使用したい場合は、Windows 10 内に Linux を実行する仮想マシンをセットアップできます。 Linux コンピューターのように機能しますが、Windows 10 のウィンドウで実行されます。

仮想マシンはデジタル ハエとりのように機能するため、ウイルス研究者にとって非常に役立ちます。研究者がプログラムまたはファイルにウイルスが含まれていると思われる場合は、それを仮想マシンで実行してテストできます。

ファイルにウイルスが含まれている場合、仮想マシンへの感染が始まります。仮想マシンは実際のマシンのように設定されているため、ウイルスは仮想マシンではなく実際の PC に感染したものと認識します。そのため、ペイロードの配信が開始され、仮想マシンに損害が発生します。幸いなことに、ウイルスがメイン コンピューターに与えるダメージはありません。仮想マシンのみに影響します。

ウイルスが公開されると、研究者はウイルスがどのように機能するかを学習し、仮想マシンをリセットできます。次に、仮想マシンから学んだことを利用して、実際のコンピュータ上のユーザーを保護するウイルス定義を作成しました。このため、仮想マシンはマルウェア開発者にとって敵対的です。

これにおいて画面解像度はどのような役割を果たしますか?

このアプリケーションのテスト方法には欠陥があります。マルウェア研究者は仮想マシンを作成するとき、追加機能のすべてをあまり気にしません。ウイルスのテストに必要なのは、通常のコンピューターのように動作する仮想マシンだけであり、その他はすべてオプションです。

その結果、研究者は VM のゲスト ソフトウェアをインストールしないことがあります。このソフトウェアにより、研究者が実際には必要としなかった画面解像度の向上などの追加機能が可能になりました。ユーザーがクライアント ソフトウェアを使用しない場合、VM は通常、ユーザーを 2 つの低解像度 ( 800x6001024x768) のいずれかにロックします。

これら 2 つの解決策は、マルウェア開発者にとって非常に重要です。最近のコンピューターやラップトップには、その解像度の画面が搭載されていないことがほとんどです。そのサイズは非常に時代遅れです。

一般的なデバイスの解像度

マルウェアはこのデータをどのように使用して VM を回避するのでしょうか?

したがって、マルウェアがホスト コンピュータ上に出現し、それが 800×600 または 1024×768 の解像度で実行されていることがわかった場合、そのマルウェアはおそらく非常に古いハードウェア、または潜在的に性能の高いハードウェアで実行されていることを意味します。 。

このような条件下でウイルスが動作すると、暴露されてしまいます。したがって、自分自身を守るために、マルウェアは自動的に終了し、損害を与えません。

研究者の観点から見ると、プログラムは実行されましたが、PC には感染しなかったため、ウイルスではありませんでした。その後、プログラムについて誤った仮定を立て、マルウェアが検出される前にさらに移動する可能性があります。

現実世界の解像度をテストするマルウェアの例

Trickbot は、この戦術が実際に実行されている好例です。研究者たちは最近、TrickBot コード行に侵入し、それがどのように機能するかを分析することに成功しました。 Mak (@maciekkotowicz) という名前の Twitter ユーザーは、800×600 または 1024×768 の解像度でスキャンするコードを TrickBot で発見しました。

マルウェアが画面解像度を利用して検出を回避する方法

TrickBot のコードは 800×600 または 1024×768 の解像度でスキャンします

このコードでは、ウイルスはコンピュータの解像度の X 値と Y 値を取得し、それらを組み合わせて結果を確認します。結果が 800×600 または 1024×768 の場合、コードは 0 を返します。これは、仮想マシン内でマルウェアが実行されていることを示します。

マルウェアは、仮想マシン内に存在すると認識すると、検出を避けるために自己破壊します。その結果、仮想マシン内のウイルスをチェックする人は誰でも、その仮想マシンが安全であると考えるようになります。

この戦略はあなたにとって何を意味しますか?

もちろん、これは、1024x768 または 800x600 の解像度を使用すると、一部の種類のマルウェアから保護されることを意味します。彼らはシステムに到達するとすぐにあなたの解決策に気づき、損害を与える前に自爆します。ただし、この保護を得るには、解像度が非常に低いコンピュータを使用する必要があります。

したがって、この新しいタイプのマルウェアに対抗する最善の方法は、ウイルス対策ソフトウェアを更新することです。現在、この VM 対策のトリックは広く知られているため、ハイエンドのセキュリティ会社が再び騙される可能性は非常に低いです。

ただし、自分の仮想マシン内のファイルをチェックする傾向がある場合は、これに留意することが特に重要です。仮想マシンが 800×600 または 1024×768 で実行されている場合は、より一般的な解像度に設定する価値があるかもしれません。そうしないと、チェックしているファイルにこの VM 対策がインストールされているかどうかを確認できません。


ZombieLoad 攻撃からデバイスを保護するにはどうすればよいですか?

ZombieLoad 攻撃からデバイスを保護するにはどうすればよいですか?

最近、Intel プロセッサ チップに ZombieLoad と呼ばれる新たな脆弱性が発見され、ユーザーを不安にさせています。デバイスを保護する方法をお探しなら、ここが最適な場所です。

Windows 10 のクリップボード履歴にテキストと画像をピン留めする方法

Windows 10 のクリップボード履歴にテキストと画像をピン留めする方法

Windows 10 では、クリップボード履歴と呼ばれる機能により、コピー アンド ペーストがより便利になりました。頻繁にコピーして貼り付ける項目をリストに固定して、すばやくアクセスできるようにします。この機能の使用方法は次のとおりです。

Windows 10でAHCIモードを有効にする方法

Windows 10でAHCIモードを有効にする方法

AHCI モードを使用する場合の唯一の問題は、Windows のインストール後に変更できないことです。そのため、Windows をインストールする前に BIOS で AHCI モードを設定する必要があります。幸いなことに、これには修正があります。

Bitdefender アドウェア削除ツールを使用して Windows 上のアドウェアを削除する方法

Bitdefender アドウェア削除ツールを使用して Windows 上のアドウェアを削除する方法

Bitdefender Adware Removal Tool は、コンピューター上の個人情報を脅かす悪意のあるアドウェアからのシステム セキュリティ ツールです。

2.4GHzと5GHzのWiFiの違い

2.4GHzと5GHzのWiFiの違い

古いルーターを交換することにしました。新しい無線ルーターの箱を開けると、なぜ 2.4GHz と 5GHz の 2 つのネットワークがあるのか​​不思議に思うかもしれません。では、5GHz ネットワークは強力なのでしょうか?それらの違いは何ですか?

Windows 10 で FTP サーバーを設定および管理する手順

Windows 10 で FTP サーバーを設定および管理する手順

大量のファイルを制限なく共有および変換するためのプライベート クラウドを作成したい場合は、Windows 10 コンピューター上に FTP サーバー (ファイル転送プロトコル サーバー) を作成できます。

Linux 上の SQL Server 2017 は企業の生産性向上に役立ちます

Linux 上の SQL Server 2017 は企業の生産性向上に役立ちます

金融会社 dv01 は SQL 機能を活用し、Linux 専門家を SQL Server 2017 の早期採用者に変えました。

Trend Cleaner を使用して Windows 10 をクリーンアップする方法

Trend Cleaner を使用して Windows 10 をクリーンアップする方法

Trend Cleaner は、ジャンク ファイルを削除し、Windows 10 をクリーンアップしてシステムを高速化するアプリケーションです。

コンピューター用の 40 枚以上の高解像度サノスの壁紙のコレクション

コンピューター用の 40 枚以上の高解像度サノスの壁紙のコレクション

この記事のサノスの壁紙セットは、すべてのコンピューターとラップトップのすべての解像度で利用できます。

Remix OS を使用して Windows と並行して Android をインストールする方法

Remix OS を使用して Windows と並行して Android をインストールする方法

メーカーの Jide は、32 ビットおよび 64 ビットの Windows プラットフォームをサポートするために Remix OS 3.0 デュアル ブートを更新し、Windows と並行して Android をインストールできるようにしました。