Au fil des ans, les développeurs de logiciels malveillants et les experts en cybersécurité se sont fait la guerre en essayant de se surpasser. Récemment, la communauté des développeurs de logiciels malveillants a déployé une nouvelle stratégie pour échapper à la détection :vérifier la résolution de l'écran.
Voyons pourquoi la résolution d'écran est importante pour les logiciels malveillants et ce que cela signifie pour vous.
Pour savoir pourquoi les logiciels malveillants se soucient de la résolution de l'écran, nous devons jeter un coup d'œil à l'un de ses pires ennemis ; la machine virtuelle.
Les machines virtuelles sont un outil utile pour les chercheurs en virus. Ils agissent comme un "ordinateur à l'intérieur d'un ordinateur", vous pouvez donc utiliser un autre système d'exploitation sans avoir besoin d'un nouveau PC.
Par exemple, si vous avez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle à l'intérieur de Windows 10 pour exécuter Linux. Il agira comme une machine Linux mais s'exécutera dans une fenêtre de Windows 10.
Les machines virtuelles sont très utiles aux chercheurs en virus, car elles agissent comme un piège à mouches de Vénus numérique. Si un chercheur pense qu'un programme ou un fichier contient un virus, il peut le tester en l'exécutant sur une machine virtuelle.
Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Parce qu'une machine virtuelle est configurée comme une vraie, le virus pense qu'il infecte un vrai PC et non un virtuel. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, aucun des dommages causés par un virus ne « se transmet » à l'ordinateur principal; cela n'affecte que le virtuel.
Une fois que le virus a trahi le jeu, le chercheur peut étudier son fonctionnement puis réinitialiser la machine virtuelle. Ils prennent ensuite ce qu'ils ont appris de la machine virtuelle et l'utilisent pour créer des définitions de virus afin de protéger les ordinateurs réels des utilisateurs.
Pour cette raison, les machines virtuelles sont le fléau des développeurs de logiciels malveillants. Si quelqu'un soupçonne qu'un programme héberge un logiciel malveillant, il peut le démarrer dans une machine virtuelle et le supprimer s'il est mauvais.
Il y a un défaut avec cette méthode de test des applications. Lorsqu'un chercheur de logiciels malveillants crée une machine virtuelle, il n'est pas vraiment intéressé par toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester les virus est une machine virtuelle qui agit comme un ordinateur normal --- tout le reste est facultatif.
Par conséquent, les chercheurs n'installent parfois pas le logiciel invité de la machine virtuelle. Ce logiciel permet des fonctionnalités supplémentaires telles que des résolutions d'écran plus élevées, dont le chercheur n'a pas vraiment besoin. Si l'utilisateur n'utilise pas le logiciel invité, la VM verrouille généralement l'utilisateur dans l'une des deux résolutions basses :800 x 600 et 1 024 x 768.
Ces deux résolutions sont importantes pour un développeur de logiciels malveillants. Les ordinateurs et les ordinateurs portables modernes ne sont généralement pas équipés d'écrans à cette résolution ; c'est très obsolète.
En fait, vous pouvez voir à quel point il est obsolète sur Statcounter, qui collecte des informations sur les résolutions les plus utilisées. Au moment de la rédaction, les résolutions ont tendance à être plus grandes ou plus petites que les exemples de VM ci-dessus.
D'un côté du spectre, vous avez la résolution standard 1366x768 pour les ordinateurs portables et 1920x1080 pour les moniteurs PC. De l'autre côté, vous trouverez de minuscules écrans 360 x 640 en cours d'utilisation --- ce sont des smartphones.
800x600 et 1024x768 n'apparaissent pas du tout. L'inverse de ce dernier, 768x1024, existe bel et bien; c'est une résolution iPad. Cependant, même cela ne prend que 2,6 %, ce qui signifie que 97,4 % des appareils utilisent des résolutions différentes.
Ainsi, lorsqu'un logiciel malveillant atterrit sur un ordinateur hôte et constate qu'il s'exécute sur 800 x 600 ou 1 024 x 768, il s'agit soit d'un matériel très obsolète, soit, plus probablement, d'une surveillance au sein d'une machine virtuelle.
Si le virus opère dans ces conditions, il révélera le jeu sous les yeux d'un chercheur de virus. Ainsi, afin de protéger ses secrets, le logiciel malveillant s'auto-arrête et ne cause aucun dommage.
Du point de vue du chercheur, le programme s'est exécuté et n'a pas infecté le PC, il doit donc être bénin. Ils peuvent alors attribuer un rapport de faux négatif au programme, permettant au logiciel malveillant de voyager plus loin avant d'être finalement détecté.
Trickbot est un excellent exemple de cette tactique à l'état sauvage. Les chercheurs ont réussi à s'introduire dans une souche récente du code de TrickBot et ont analysé son fonctionnement. Un utilisateur de Twitter connu sous le nom de Mak (@maciekkotowicz) a trouvé un morceau de code dans TrickBot qui recherche une résolution de 800 x 600 ou 1 024 x 768.
Dans ce morceau de code, le virus saisit les valeurs X et Y de la résolution de l'ordinateur, puis les combine pour voir le résultat. Si le résultat est égal à 800 x 600 ou 1 024 x 768, le code renvoie le nombre 0. Cela indique au programme malveillant qu'il s'exécute sur une machine virtuelle.
Une fois que le logiciel malveillant sait qu'il se trouve dans une machine virtuelle, il s'autodétruit pour éviter d'être détecté. Par conséquent, toute personne recherchant des virus dans une machine virtuelle la considérera à tort comme sûre.
Bien sûr, cela signifie que si vous avez utilisé une résolution de 1024x768 ou 800x600, vous serez protégé contre certaines souches de logiciels malveillants. Dès leur arrivée, ils noteront votre résolution et s'autodétruiront avant de faire des dégâts. Cependant, ce que vous gagnez en protection, vous le perdrez en santé mentale en utilisant un ordinateur avec une résolution aussi restreinte !
En tant que tel, votre meilleur pari pour lutter contre cette nouvelle souche de logiciels malveillants est de mettre à jour votre antivirus. Maintenant que cette astuce anti-VM est de notoriété publique, il est peu probable que les sociétés de sécurité haut de gamme soient à nouveau dupes.
Cependant, ceci est important à noter si vous avez tendance à tester des fichiers sur vos propres machines virtuelles. Si votre machine virtuelle fonctionne à 800x600 ou 1024x768, cela vaut la peine de la régler sur une résolution plus populaire. Si vous ne le faites pas, vous ne pouvez pas être certain que le fichier que vous testez dispose de cette précaution anti-VM.
La cybersécurité devenant l'énorme industrie qu'elle est, les développeurs de logiciels malveillants doivent s'adapter pour garder une longueur d'avance. De nouvelles souches de logiciels malveillants échapperont à la capture si elles sont exécutées sur une machine virtuelle non préparée. Par conséquent, si vous utilisez des machines virtuelles pour les tests de virus, gardez cela à l'esprit.
Le meilleur antivirus est le bon sens, alors pourquoi ne pas apprendre les moyens simples de ne jamais attraper de virus ?