マルウェアが画面解像度を利用して検出を回避する方法

長年にわたり、マルウェア開発者とサイバーセキュリティ専門家は緊張した対立を続けてきました。最近、マルウェア開発コミュニティは、検出を回避するために、画面解像度を確認するという新しい戦略を導入しました。

画面解像度がマルウェアにとって重要な理由と、それがあなたにとって何を意味するのかを見てみましょう。

なぜマルウェアは画面解像度を気にするのでしょうか?

マルウェアが画面解像度を気にする理由を理解するには、マルウェアの宿敵の 1 つである仮想マシンについて考えてみましょう。

仮想マシンはウイルス研究者にとって便利なツールです。これらは 1 つのコンピューター内で別のコンピューターのように機能するため、新しい PC を必要とせずに、別のオペレーティング システムを使用できます。

たとえば、Windows 10 コンピューターを持っているが Linux を使用したい場合は、Windows 10 内に Linux を実行する仮想マシンをセットアップできます。 Linux コンピューターのように機能しますが、Windows 10 のウィンドウで実行されます。

• Windows 上で Linux ソフトウェアを実行するのに役立つ 7 つの方法

仮想マシンはデジタル ハエとりのように機能するため、ウイルス研究者にとって非常に役立ちます。研究者がプログラムまたはファイルにウイルスが含まれていると思われる場合は、それを仮想マシンで実行してテストできます。

ファイルにウイルスが含まれている場合、仮想マシンへの感染が始まります。仮想マシンは実際のマシンのように設定されているため、ウイルスは仮想マシンではなく実際の PC に感染したものと認識します。そのため、ペイロードの配信が開始され、仮想マシンに損害が発生します。幸いなことに、ウイルスがメイン コンピューターに与えるダメージはありません。仮想マシンのみに影響します。

ウイルスが公開されると、研究者はウイルスがどのように機能するかを学習し、仮想マシンをリセットできます。次に、仮想マシンから学んだことを利用して、実際のコンピュータ上のユーザーを保護するウイルス定義を作成しました。このため、仮想マシンはマルウェア開発者にとって敵対的です。

これにおいて画面解像度はどのような役割を果たしますか?

このアプリケーションのテスト方法には欠陥があります。マルウェア研究者は仮想マシンを作成するとき、追加機能のすべてをあまり気にしません。ウイルスのテストに必要なのは、通常のコンピューターのように動作する仮想マシンだけであり、その他はすべてオプションです。

その結果、研究者は VM のゲスト ソフトウェアをインストールしないことがあります。このソフトウェアにより、研究者が実際には必要としなかった画面解像度の向上などの追加機能が可能になりました。ユーザーがクライアント ソフトウェアを使用しない場合、VM は通常、ユーザーを 2 つの低解像度 ( 800x600と1024x768) のいずれかにロックします。

これら 2 つの解決策は、マルウェア開発者にとって非常に重要です。最近のコンピューターやラップトップには、その解像度の画面が搭載されていないことがほとんどです。そのサイズは非常に時代遅れです。

一般的なデバイスの解像度

マルウェアはこのデータをどのように使用して VM を回避するのでしょうか?

したがって、マルウェアがホスト コンピュータ上に出現し、それが 800×600 または 1024×768 の解像度で実行されていることがわかった場合、そのマルウェアはおそらく非常に古いハードウェア、または潜在的に性能の高いハードウェアで実行されていることを意味します。 。

このような条件下でウイルスが動作すると、暴露されてしまいます。したがって、自分自身を守るために、マルウェアは自動的に終了し、損害を与えません。

研究者の観点から見ると、プログラムは実行されましたが、PC には感染しなかったため、ウイルスではありませんでした。その後、プログラムについて誤った仮定を立て、マルウェアが検出される前にさらに移動する可能性があります。

現実世界の解像度をテストするマルウェアの例

Trickbot は、この戦術が実際に実行されている好例です。研究者たちは最近、TrickBot コード行に侵入し、それがどのように機能するかを分析することに成功しました。 Mak (@maciekkotowicz) という名前の Twitter ユーザーは、800×600 または 1024×768 の解像度でスキャンするコードを TrickBot で発見しました。

TrickBot のコードは 800×600 または 1024×768 の解像度でスキャンします

このコードでは、ウイルスはコンピュータの解像度の X 値と Y 値を取得し、それらを組み合わせて結果を確認します。結果が 800×600 または 1024×768 の場合、コードは 0 を返します。これは、仮想マシン内でマルウェアが実行されていることを示します。

マルウェアは、仮想マシン内に存在すると認識すると、検出を避けるために自己破壊します。その結果、仮想マシン内のウイルスをチェックする人は誰でも、その仮想マシンが安全であると考えるようになります。

この戦略はあなたにとって何を意味しますか?

もちろん、これは、1024x768 または 800x600 の解像度を使用すると、一部の種類のマルウェアから保護されることを意味します。彼らはシステムに到達するとすぐにあなたの解決策に気づき、損害を与える前に自爆します。ただし、この保護を得るには、解像度が非常に低いコンピュータを使用する必要があります。

したがって、この新しいタイプのマルウェアに対抗する最善の方法は、ウイルス対策ソフトウェアを更新することです。現在、この VM 対策のトリックは広く知られているため、ハイエンドのセキュリティ会社が再び騙される可能性は非常に低いです。

ただし、自分の仮想マシン内のファイルをチェックする傾向がある場合は、これに留意することが特に重要です。仮想マシンが 800×600 または 1024×768 で実行されている場合は、より一般的な解像度に設定する価値があるかもしれません。そうしないと、チェックしているファイルにこの VM 対策がインストールされているかどうかを確認できません。