Pendant des années, les développeurs de logiciels malveillants et les experts en cybersécurité ont eu des confrontations tendues. Récemment, la communauté des développeurs de logiciels malveillants a mis en œuvre une nouvelle stratégie pour éviter la détection : vérifier la résolution de l'écran.
Voyons pourquoi la résolution d'écran est importante pour les logiciels malveillants et ce qu'elle signifie pour vous.
Pourquoi les logiciels malveillants se soucient-ils de la résolution de l’écran ?
Pour comprendre pourquoi les logiciels malveillants se soucient de la résolution de l'écran, considérons l'un de leurs ennemis : les machines virtuelles .
Les machines virtuelles sont un outil utile pour les chercheurs en virus. Ils fonctionnent comme un ordinateur dans un autre, vous pouvez donc utiliser un système d'exploitation différent sans avoir besoin d'un nouveau PC.
Par exemple, si vous possédez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle dans Windows 10 pour exécuter Linux. Il fonctionnera comme un ordinateur Linux mais s'exécutera dans une fenêtre sous Windows 10.
Les machines virtuelles sont très utiles pour les chercheurs en virus, car elles agissent comme un piège à mouches numérique. Si un chercheur estime qu'un programme ou un fichier contient un virus, il peut le tester en l'exécutant sur une machine virtuelle.
Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Étant donné qu’une machine virtuelle est configurée pour ressembler à une machine réelle, le virus pense avoir infecté un vrai PC et non une machine virtuelle. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, le virus ne peut causer aucun dommage à l’ordinateur principal. Cela n'affecte que les machines virtuelles.
Une fois le virus exposé, les chercheurs peuvent apprendre son fonctionnement, puis réinitialiser la machine virtuelle. Ensuite, ils ont pris ce qu’ils avaient appris de la machine virtuelle et l’ont utilisé pour créer des définitions de virus afin de protéger les utilisateurs sur des ordinateurs réels. Pour cette raison, les machines virtuelles sont hostiles aux développeurs de logiciels malveillants.
Quel rôle la résolution de l’écran joue-t-elle à cet égard ?
Il y a un défaut dans cette méthode de test des applications. Lorsque les chercheurs en logiciels malveillants créent une machine virtuelle, ils ne se soucient pas vraiment de toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester la présence de virus est une machine virtuelle qui agit comme un ordinateur normal, tout le reste est simplement facultatif.
Par conséquent, il arrive parfois que les chercheurs n’installent pas le logiciel invité de la VM. Ce logiciel permettait des fonctionnalités supplémentaires telles qu’une résolution d’écran plus élevée, dont le chercheur n’avait pas vraiment besoin. Si l'utilisateur n'utilise pas de logiciel client, la VM le verrouille généralement dans l'une des deux résolutions basses : 800 x 600 et 1 024 x 768.
Ces deux résolutions sont très importantes pour un développeur de malware. Les ordinateurs et ordinateurs portables modernes ne sont pas souvent équipés d’écrans de cette résolution. Cette taille est très dépassée.
Résolutions d'appareils populaires
Comment les logiciels malveillants utilisent-ils ces données pour éviter les VM ?
Ainsi, lorsqu'un malware apparaît sur un ordinateur hôte et que l'on remarque qu'il s'exécute sur une résolution de 800×600 ou 1024×768, cela signifie que le malware s'exécute probablement sur un matériel très obsolète ou potentiellement performant. .
Si le virus opère dans ces conditions, il sera exposé. Ainsi, pour vous protéger, le malware se terminera tout seul et ne causera aucun dommage.
Du point de vue du chercheur, le programme s’est exécuté et n’a pas infecté le PC ; il ne s’agissait donc pas d’un virus. Ils peuvent alors faire de fausses hypothèses sur le programme, permettant ainsi au malware de se propager plus loin avant d'être détecté.
Exemple de malware testant une résolution réelle
Trickbot est un excellent exemple de cette tactique en action. Les chercheurs ont récemment réussi à pénétrer dans une ligne de code de TrickBot et à analyser son fonctionnement. Un utilisateur de Twitter nommé Mak (@maciekkotowicz) a trouvé un code dans TrickBot qui scanne une résolution de 800 × 600 ou 1024 × 768.
Le code dans TrickBot scanne à une résolution de 800 × 600 ou 1024 × 768
Dans ce code, le virus prend les valeurs X et Y de la résolution de l'ordinateur, puis les combine pour voir le résultat. Si le résultat est 800×600 ou 1024×768, le code renverra 0. Cela indique qu’un malware s’exécute sur une machine virtuelle.
Une fois que le malware sait qu’il se trouve dans une machine virtuelle, il s’autodétruit pour éviter d’être détecté. En conséquence, quiconque recherche des virus dans une machine virtuelle la considérera comme sûre.
Que signifie pour vous cette stratégie ?
Bien entendu, cela signifie que si vous utilisez une résolution de 1024 x 768 ou 800 x 600, vous serez protégé contre certains types de logiciels malveillants. Dès qu'ils atteindront le système, ils noteront votre résolution et s'autodétruiront avant de causer des dégâts. Cependant, pour bénéficier de cette protection, vous devrez utiliser un ordinateur avec une très petite résolution !
En tant que tel, le meilleur moyen de lutter contre ce nouveau type de malware est de mettre à jour votre logiciel antivirus . Cette astuce anti-VM est désormais de notoriété publique, il est donc très peu probable que les entreprises de sécurité haut de gamme soient à nouveau trompées.
Cependant, il est particulièrement important de garder cela à l’esprit si vous avez tendance à vérifier des fichiers sur vos propres machines virtuelles. Si votre machine virtuelle fonctionne à 800×600 ou 1024×768, il peut être utile de la régler sur la résolution la plus courante. Si vous ne le faites pas, il est impossible de savoir si cette précaution anti-VM est installée sur le fichier que vous vérifiez.