Depuis des années, les développeurs de malwares et les experts en cybersécurité s'affrontent dans une course à l'innovation. Récemment, les créateurs de logiciels malveillants ont adopté une nouvelle technique d'évasion : la vérification de la résolution d'écran.
Découvrez pourquoi cette astuce est cruciale pour les malwares et ce qu'elle implique pour votre sécurité.
Pour comprendre l'intérêt des malwares pour la résolution d'écran, examinons l'un de leurs principaux ennemis : la machine virtuelle (VM).
Les machines virtuelles sont indispensables aux chercheurs en cybersécurité. Elles simulent un « ordinateur dans un ordinateur », permettant de tester un système d'exploitation sans matériel dédié.
Par exemple, sur un PC Windows 10, vous pouvez exécuter Linux dans une VM, qui s'affiche comme une fenêtre et reproduit fidèlement un environnement réel.
Ces VM servent de piège idéal pour analyser les suspects. Si un fichier contient un malware, celui-ci infecte la VM sans risque pour l'hôte principal. Le chercheur observe son comportement, le neutralise, puis réinitialise la VM pour créer des signatures antivirus protectrices.
Les malwares haïssent les VM, car elles permettent une détection précoce et sûre.
Cette méthode a un point faible : les chercheurs priorisent l'essentiel et négligent souvent les outils additionnels comme les « VMware Tools » ou équivalents, qui optimisent les performances, y compris les résolutions élevées.
Sans ces outils, les VM se limitent souvent à des résolutions obsolètes : 800x600 ou 1024x768.
Ces formats sont rarissimes sur le matériel moderne. Les laptops affichent généralement 1366x768, les PC 1920x1080, et les smartphones des résolutions comme 360x640.
Selon Statcounter, ces anciennes résolutions représentent moins de 1 % des usages actuels, confirmant leur association aux VM non optimisées.
Sur un système à 800x600 ou 1024x768, un malware soupçonne une VM et s'auto-détruit pour passer inaperçu, générant un faux négatif.
Trickbot illustre parfaitement cette tactique. Des chercheurs, dont Mak (@maciekkotowicz) sur Twitter, ont analysé son code : il vérifie les dimensions d'écran (X x Y). Si elles correspondent aux résolutions VM typiques, il renvoie 0 et s'autodétruit.
Évitez ces résolutions obsolètes sur vos VM de test : optez pour 1920x1080 ou 1366x768 pour tromper les malwares.
Maintenez votre antivirus à jour. Cette technique est désormais connue, et les éditeurs l'ont contrée.
Pour une protection optimale, adoptez les bonnes pratiques : ne testez pas de fichiers suspects sans VM configurée correctement.
La cybersécurité évolue vite. Les malwares s'adaptent aux VM, mais avec vigilance et outils experts, vous restez protégé.
Le meilleur bouclier ? Le bon sens : apprenez à éviter les infections dès la source.
[]