Pendant des années, les développeurs de logiciels malveillants et les experts en cybersécurité ont eu des confrontations tendues. Récemment, la communauté des développeurs de logiciels malveillants a mis en œuvre une nouvelle stratégie pour éviter la détection : vérifier la résolution de l'écran.
Voyons pourquoi la résolution d'écran est importante pour les logiciels malveillants et ce qu'elle signifie pour vous.
Pourquoi les logiciels malveillants se soucient-ils de la résolution de l’écran ?
Pour comprendre pourquoi les logiciels malveillants se soucient de la résolution de l'écran, considérons l'un de leurs ennemis : les machines virtuelles .
Les machines virtuelles sont un outil utile pour les chercheurs en virus. Ils fonctionnent comme un ordinateur dans un autre, vous pouvez donc utiliser un système d'exploitation différent sans avoir besoin d'un nouveau PC.
Par exemple, si vous possédez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle dans Windows 10 pour exécuter Linux. Il fonctionnera comme un ordinateur Linux mais s'exécutera dans une fenêtre sous Windows 10.
Les machines virtuelles sont très utiles pour les chercheurs en virus, car elles agissent comme un piège à mouches numérique. Si un chercheur estime qu'un programme ou un fichier contient un virus, il peut le tester en l'exécutant sur une machine virtuelle.
Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Étant donné qu’une machine virtuelle est configurée pour ressembler à une machine réelle, le virus pense avoir infecté un vrai PC et non une machine virtuelle. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, le virus ne peut causer aucun dommage à l’ordinateur principal. Cela n'affecte que les machines virtuelles.
Une fois le virus exposé, les chercheurs peuvent apprendre son fonctionnement, puis réinitialiser la machine virtuelle. Ensuite, ils ont pris ce qu’ils avaient appris de la machine virtuelle et l’ont utilisé pour créer des définitions de virus afin de protéger les utilisateurs sur des ordinateurs réels. Pour cette raison, les machines virtuelles sont hostiles aux développeurs de logiciels malveillants.
Quel rôle la résolution de l’écran joue-t-elle à cet égard ?
Il y a un défaut dans cette méthode de test des applications. Lorsque les chercheurs en logiciels malveillants créent une machine virtuelle, ils ne se soucient pas vraiment de toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester la présence de virus est une machine virtuelle qui agit comme un ordinateur normal, tout le reste est simplement facultatif.
Par conséquent, il arrive parfois que les chercheurs n’installent pas le logiciel invité de la VM. Ce logiciel permettait des fonctionnalités supplémentaires telles qu’une résolution d’écran plus élevée, dont le chercheur n’avait pas vraiment besoin. Si l'utilisateur n'utilise pas de logiciel client, la VM le verrouille généralement dans l'une des deux résolutions basses : 800 x 600 et 1 024 x 768.
Ces deux résolutions sont très importantes pour un développeur de malware. Les ordinateurs et ordinateurs portables modernes ne sont pas souvent équipés d’écrans de cette résolution. Cette taille est très dépassée.
Résolutions d'appareils populaires
Comment les logiciels malveillants utilisent-ils ces données pour éviter les VM ?
Ainsi, lorsqu'un malware apparaît sur un ordinateur hôte et que l'on remarque qu'il s'exécute sur une résolution de 800×600 ou 1024×768, cela signifie que le malware s'exécute probablement sur un matériel très obsolète ou potentiellement performant. .
Si le virus opère dans ces conditions, il sera exposé. Ainsi, pour vous protéger, le malware se terminera tout seul et ne causera aucun dommage.
Du point de vue du chercheur, le programme s’est exécuté et n’a pas infecté le PC ; il ne s’agissait donc pas d’un virus. Ils peuvent alors faire de fausses hypothèses sur le programme, permettant ainsi au malware de se propager plus loin avant d'être détecté.
Exemple de malware testant une résolution réelle
Trickbot est un excellent exemple de cette tactique en action. Les chercheurs ont récemment réussi à pénétrer dans une ligne de code de TrickBot et à analyser son fonctionnement. Un utilisateur de Twitter nommé Mak (@maciekkotowicz) a trouvé un code dans TrickBot qui scanne une résolution de 800 × 600 ou 1024 × 768.
Le code dans TrickBot scanne à une résolution de 800 × 600 ou 1024 × 768
Dans ce code, le virus prend les valeurs X et Y de la résolution de l'ordinateur, puis les combine pour voir le résultat. Si le résultat est 800×600 ou 1024×768, le code renverra 0. Cela indique qu’un malware s’exécute sur une machine virtuelle.
Une fois que le malware sait qu’il se trouve dans une machine virtuelle, il s’autodétruit pour éviter d’être détecté. En conséquence, quiconque recherche des virus dans une machine virtuelle la considérera comme sûre.
Que signifie pour vous cette stratégie ?
Bien entendu, cela signifie que si vous utilisez une résolution de 1024 x 768 ou 800 x 600, vous serez protégé contre certains types de logiciels malveillants. Dès qu'ils atteindront le système, ils noteront votre résolution et s'autodétruiront avant de causer des dégâts. Cependant, pour bénéficier de cette protection, vous devrez utiliser un ordinateur avec une très petite résolution !
En tant que tel, le meilleur moyen de lutter contre ce nouveau type de malware est de mettre à jour votre logiciel antivirus . Cette astuce anti-VM est désormais de notoriété publique, il est donc très peu probable que les entreprises de sécurité haut de gamme soient à nouveau trompées.
Cependant, il est particulièrement important de garder cela à l’esprit si vous avez tendance à vérifier des fichiers sur vos propres machines virtuelles. Si votre machine virtuelle fonctionne à 800×600 ou 1024×768, il peut être utile de la régler sur la résolution la plus courante. Si vous ne le faites pas, il est impossible de savoir si cette précaution anti-VM est installée sur le fichier que vous vérifiez.
Récemment, une nouvelle vulnérabilité a été découverte sur les puces des processeurs Intel, appelée ZombieLoad, ce qui inquiète les utilisateurs. Si vous cherchez des moyens de protéger vos appareils, vous êtes au bon endroit.
Windows 10 rend le copier-coller plus pratique grâce à une fonctionnalité appelée Historique du Presse-papiers. Il vous permet d'épingler les éléments que vous copiez et collez fréquemment dans une liste pour un accès rapide. Voici comment utiliser cette fonctionnalité.
Le seul problème lié à l'utilisation du mode AHCI est qu'il ne peut pas être modifié après l'installation de Windows. Vous devez donc définir le mode AHCI dans le BIOS avant d'installer Windows. Heureusement, il existe un correctif pour cela.
Bitdefender Adware Removal Tool est un outil de sécurité du système contre les logiciels publicitaires malveillants qui menacent les informations personnelles sur votre ordinateur.
Vous venez de décider de remplacer votre ancien routeur. Lorsque vous ouvrez la boîte de votre nouveau routeur sans fil, vous vous demandez peut-être pourquoi il existe deux réseaux, 2,4 GHz et 5 GHz. Alors, le réseau 5 GHz est-il plus fort ? Quelle est la différence entre eux?
Si vous souhaitez créer un cloud privé pour partager et convertir des fichiers volumineux sans limites, vous pouvez créer un serveur FTP (File Transfer Protocol Server) sur votre ordinateur Windows 10.
La société financière dv01 a tiré parti des fonctionnalités de SQL, faisant de ses experts Linux les premiers à adopter SQL Server 2017.
Trend Cleaner est une application permettant de supprimer les fichiers indésirables et de nettoyer Windows 10 pour accélérer le système.
L'ensemble des fonds d'écran Thanos dans cet article sera disponible dans toutes les résolutions pour tous les ordinateurs et ordinateurs portables.
Le fabricant Jide a mis à jour Remix OS 3.0 Dual Boot pour prendre en charge les plates-formes Windows 32 bits et 64 bits, vous permettant d'installer Android en parallèle avec Windows.
