Cómo el malware usa la resolución de pantalla para evitar la detección

Aranzulla de Los Pobres
resolución de pantalla de malware

Con los años, los desarrolladores de malware y los expertos en seguridad cibernética han estado en guerra tratando de reunirse. Recientemente, la comunidad de desarrolladores de malware ha implementado una nueva estrategia para evitar la detección: controlar la resolución de la pantalla.

Veamos por qué la resolución de pantalla es importante para el malware y lo que significa para usted.

Porque el malware se preocupa por la resolución de pantalla

Para descubrir por qué el malware se preocupa por la resolución de pantalla, debemos echar un vistazo a uno de sus peores enemigos; La máquina virtual .

Las máquinas virtuales son una herramienta útil para los investigadores de virus. Funcionan como una "computadora dentro de una computadora", por lo que puede usar otro sistema operativo sin necesidad de una nueva PC.

Por ejemplo, si tiene una computadora con Windows 10 pero quiere usar Linux, puede configurar una máquina virtual dentro de Windows 10 para ejecutar Linux. Funcionará como una máquina Linux pero funciona en una ventana en Windows 10.

Las máquinas virtuales son muy útiles para los investigadores de virus, ya que actúan como una trampa digital de venus. Si un investigador cree que un programa o archivo contiene un virus, puede probarlo ejecutándolo dentro de una máquina virtual.

Si el archivo contiene un virus, comenzará a infectar la máquina virtual. Dado que una máquina virtual está configurada como real, el virus cree que está infectando una PC real y no virtual. Como tal, comienza a entregar su carga útil y a dañar la máquina virtual. Afortunadamente, ninguno de los daños que un virus "trae" a la computadora principal; solo afecta al virtual.

Una vez que el virus ha distribuido el juego, el investigador puede estudiar cómo funciona y luego restaurar la máquina virtual. Entonces toman lo que aprendieron de la máquina virtual y lo usan para crear definiciones de virus para proteger las computadoras reales de las personas.

Por esta razón, las máquinas virtuales son la ruina de los desarrolladores de malware. Si alguien sospecha que un programa lleva malware, puede iniciarlo en una máquina virtual y eliminarlo si es malo.

¿De dónde viene la resolución de pantalla?

Hay un defecto con este método de prueba de la aplicación. Cuando un investigador de malware crea una máquina virtual, no está realmente interesado en todas las características adicionales. Todo lo que necesitan para buscar virus es una máquina virtual que actúe como una computadora normal, todo lo demás es opcional.

Como resultado, los investigadores a veces no instalan el software invitado VM. Este software habilita características adicionales como resoluciones de pantalla más altas, que el investigador realmente no necesita. Si el usuario no usa el software invitado, la VM generalmente bloquea al usuario en una de dos resoluciones bajas: 800 × 600 y 1024 × 768.

Estas dos resoluciones son importantes para un desarrollador de malware. Las computadoras y computadoras portátiles modernas generalmente no tienen pantallas con esa resolución; Es muy obsoleto.

El gráfico Statcounter muestra la popularidad de la resolución.

De hecho, puede ver lo obsoleto que está en Statcounter , que recopila información sobre las resoluciones más utilizadas. Al momento de escribir esto, las resoluciones tienden a ser más altas o más bajas que los ejemplos de VM anteriores.

En un lado del espectro, tiene la resolución estándar de 1366 × 768 para computadoras portátiles y 1920 × 1080 para monitores de PC. Por otro lado, encontrarás pequeñas pantallas de 360 ​​× 640 en uso, esos son teléfonos inteligentes.

800 × 600 y 1024 × 768 no aparecen en absoluto. El opuesto de este último, 768 × 1024, existe; Esta es una resolución de iPad. Sin embargo, esto también ocupa solo el 2.6 por ciento, lo que significa que el 97.4 por ciento de los dispositivos usan diferentes resoluciones.

Cómo el malware usa estos datos para evitar máquinas virtuales

Por lo tanto, cuando el malware llega a una computadora host y se da cuenta de que se está ejecutando en 800 × 600 o 1024 × 768, está en un hardware muy obsoleto o, más probablemente, se observa dentro de una máquina virtual.

Si el virus funciona en esta condición, obsequiará el juego ante los ojos de un investigador de virus. Por lo tanto, para proteger sus secretos, el malware termina automáticamente y no daña.

Desde el punto de vista del investigador, el programa funcionó y no infectó la PC, por lo que debe ser benigno. Luego podrían asignar un informe falso negativo al programa, permitiendo que el malware avance más antes de que finalmente se detecte.

Ejemplos de malware de comprobación de resolución del mundo real

Trickbot es un excelente ejemplo de esta táctica en la naturaleza. Los investigadores lograron entrar en una tensión reciente en el código TrickBot y analizaron cómo funciona. Un usuario de Twitter conocido como Mak (@maciekkotowicz) encontró un fragmento de código dentro de TrickBot que se arrastra a una resolución de 800 × 600 o 1024 × 768.

En este fragmento de código, el virus toma los valores X e Y de la resolución de la computadora, luego los combina para ver el resultado. Si el resultado es igual a 800 × 600 o 1024 × 768, el código devuelve el número 0. Esto indica al malware que se está ejecutando en una VM.

Una vez que el malware sabe que está dentro de una máquina virtual, se autodestruye para evitar ser detectado. Como resultado, cualquier persona que busque virus en una máquina virtual la considerará segura por error.

¿Qué significa esta táctica para ti?

Obviamente, esto significa que si utilizó una resolución de 1024 × 768 u 800 × 600, tendrá protección contra algunas cepas de malware. Tan pronto como lleguen, notarán tu resolución y se detonarán antes de hacer daño. Sin embargo, lo que gana en términos de protección, ¡perderá su cordura al usar una computadora con una resolución tan limitada!

Por lo tanto, la mejor solución para combatir esta nueva variedad de malware es actualizar su antivirus. Ahora que este truco anti-VM está en el dominio público, es poco probable que las compañías de seguridad de alto nivel vuelvan a ser engañadas.

Sin embargo, es importante tener en cuenta si tiene tendencia a probar archivos en sus máquinas virtuales. Si la VM se ejecuta a 800 × 600 o 1024 × 768, vale la pena configurarla con una resolución más popular. De lo contrario, no puede estar seguro de que el archivo que está probando haya instalado esta precaución anti-VM.

Mantente a salvo de los virus furtivos

Con la seguridad cibernética convirtiéndose en la gran industria que es, los desarrolladores de malware tienen que adaptarse para mantenerse un paso adelante. Las nuevas cepas de malware escaparán de la adquisición si se ejecutan en una máquina virtual no preparada, por lo que si está utilizando máquinas virtuales para la prueba de virus, asegúrese de tenerlo en cuenta.

El sentido común es el mejor antivirus, entonces, ¿por qué no aprender las formas fáciles de nunca contraer un virus ?

Lea el artículo completo: Cómo el malware usa la resolución de pantalla para evitar la detección