Pendant des années, les développeurs de logiciels malveillants et les experts en cybersécurité ont eu des confrontations tendues. Récemment, la communauté des développeurs de logiciels malveillants a mis en œuvre une nouvelle stratégie pour éviter la détection : vérifier la résolution de l'écran.
Voyons pourquoi la résolution d'écran est importante pour les logiciels malveillants et ce qu'elle signifie pour vous.
Pourquoi les logiciels malveillants se soucient-ils de la résolution de l’écran ?
Pour comprendre pourquoi les logiciels malveillants se soucient de la résolution de l'écran, considérons l'un de leurs ennemis : les machines virtuelles .
Les machines virtuelles sont un outil utile pour les chercheurs en virus. Ils fonctionnent comme un ordinateur dans un autre, vous pouvez donc utiliser un système d'exploitation différent sans avoir besoin d'un nouveau PC.
Par exemple, si vous possédez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle dans Windows 10 pour exécuter Linux. Il fonctionnera comme un ordinateur Linux mais s'exécutera dans une fenêtre sous Windows 10.
Les machines virtuelles sont très utiles pour les chercheurs en virus, car elles agissent comme un piège à mouches numérique. Si un chercheur estime qu'un programme ou un fichier contient un virus, il peut le tester en l'exécutant sur une machine virtuelle.
Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Étant donné qu’une machine virtuelle est configurée pour ressembler à une machine réelle, le virus pense avoir infecté un vrai PC et non une machine virtuelle. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, le virus ne peut causer aucun dommage à l’ordinateur principal. Cela n'affecte que les machines virtuelles.
Une fois le virus exposé, les chercheurs peuvent apprendre son fonctionnement, puis réinitialiser la machine virtuelle. Ensuite, ils ont pris ce qu’ils avaient appris de la machine virtuelle et l’ont utilisé pour créer des définitions de virus afin de protéger les utilisateurs sur des ordinateurs réels. Pour cette raison, les machines virtuelles sont hostiles aux développeurs de logiciels malveillants.
Quel rôle la résolution de l’écran joue-t-elle à cet égard ?
Il y a un défaut dans cette méthode de test des applications. Lorsque les chercheurs en logiciels malveillants créent une machine virtuelle, ils ne se soucient pas vraiment de toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester la présence de virus est une machine virtuelle qui agit comme un ordinateur normal, tout le reste est simplement facultatif.
Par conséquent, il arrive parfois que les chercheurs n’installent pas le logiciel invité de la VM. Ce logiciel permettait des fonctionnalités supplémentaires telles qu’une résolution d’écran plus élevée, dont le chercheur n’avait pas vraiment besoin. Si l'utilisateur n'utilise pas de logiciel client, la VM le verrouille généralement dans l'une des deux résolutions basses : 800 x 600 et 1 024 x 768.
Ces deux résolutions sont très importantes pour un développeur de malware. Les ordinateurs et ordinateurs portables modernes ne sont pas souvent équipés d’écrans de cette résolution. Cette taille est très dépassée.
Résolutions d'appareils populaires
Comment les logiciels malveillants utilisent-ils ces données pour éviter les VM ?
Ainsi, lorsqu'un malware apparaît sur un ordinateur hôte et que l'on remarque qu'il s'exécute sur une résolution de 800×600 ou 1024×768, cela signifie que le malware s'exécute probablement sur un matériel très obsolète ou potentiellement performant. .
Si le virus opère dans ces conditions, il sera exposé. Ainsi, pour vous protéger, le malware se terminera tout seul et ne causera aucun dommage.
Du point de vue du chercheur, le programme s’est exécuté et n’a pas infecté le PC ; il ne s’agissait donc pas d’un virus. Ils peuvent alors faire de fausses hypothèses sur le programme, permettant ainsi au malware de se propager plus loin avant d'être détecté.
Exemple de malware testant une résolution réelle
Trickbot est un excellent exemple de cette tactique en action. Les chercheurs ont récemment réussi à pénétrer dans une ligne de code de TrickBot et à analyser son fonctionnement. Un utilisateur de Twitter nommé Mak (@maciekkotowicz) a trouvé un code dans TrickBot qui scanne une résolution de 800 × 600 ou 1024 × 768.
Le code dans TrickBot scanne à une résolution de 800 × 600 ou 1024 × 768
Dans ce code, le virus prend les valeurs X et Y de la résolution de l'ordinateur, puis les combine pour voir le résultat. Si le résultat est 800×600 ou 1024×768, le code renverra 0. Cela indique qu’un malware s’exécute sur une machine virtuelle.
Une fois que le malware sait qu’il se trouve dans une machine virtuelle, il s’autodétruit pour éviter d’être détecté. En conséquence, quiconque recherche des virus dans une machine virtuelle la considérera comme sûre.
Que signifie pour vous cette stratégie ?
Bien entendu, cela signifie que si vous utilisez une résolution de 1024 x 768 ou 800 x 600, vous serez protégé contre certains types de logiciels malveillants. Dès qu'ils atteindront le système, ils noteront votre résolution et s'autodétruiront avant de causer des dégâts. Cependant, pour bénéficier de cette protection, vous devrez utiliser un ordinateur avec une très petite résolution !
En tant que tel, le meilleur moyen de lutter contre ce nouveau type de malware est de mettre à jour votre logiciel antivirus . Cette astuce anti-VM est désormais de notoriété publique, il est donc très peu probable que les entreprises de sécurité haut de gamme soient à nouveau trompées.
Cependant, il est particulièrement important de garder cela à l’esprit si vous avez tendance à vérifier des fichiers sur vos propres machines virtuelles. Si votre machine virtuelle fonctionne à 800×600 ou 1024×768, il peut être utile de la régler sur la résolution la plus courante. Si vous ne le faites pas, il est impossible de savoir si cette précaution anti-VM est installée sur le fichier que vous vérifiez.
Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.
Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.
Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.
Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.
Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.
Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !
WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.
La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.
La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.
Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.
