Cách malware lợi dụng độ phân giải màn hình để tránh bị phát hiện

Trong lâu năm qua, những kẻ phát triển phần mềm độc hại và các chuyên gia an ninh mạng đã có những cuộc đối đầu căng thẳng. Gần đây, cộng đồng phát triển ứng dụng độc hại đã triển khai một chiến lược mới nhằm tránh việc bị phát hiện: Kiểm tra độ phân giải màn hình.

Hãy cùng khám phá tại sao độ sắc nét màn hình lại quan trọng với phần mềm độc hại và ý nghĩa của điều ấy đối với bạn.

Tại sao ứng dụng độc hại lại quan tâm đến độ sắc nét màn hình?

Để tìm hiểu nguyên nhân tại sao phần mềm độc hại lại đoái hoài đến độ phân giải màn hình, hãy xem xét một trong các kẻ thù “không đội trời chung” với malware: Máy ảo.

Máy ảo là một công cụ hữu ích cho những nhà nghiên cứu virus. Chúng hoạt động như một máy tính bên trong 1 máy tính khác, vì vậy bạn có thể sử dụng một hệ điều hành khác mà không cần PC mới.

Ví dụ, nếu bạn có máy tính Windows 10 nhưng lại muốn sử dụng Linux, bạn có thể thiết lập một máy ảo bên trong Windows 10 để chạy Linux. Nó sẽ hoạt động giống như một máy tính Linux nhưng chạy trong 1 cửa sổ trên Windows 10.

• 7 cách giúp chạy ứng dụng Linux trên Windows

Các máy ảo rất hữu ích cho các nhà nghiên cứu virus, vì chúng hoạt động như 1 cái bẫy ruồi kỹ thuật số. Nếu một nhà nghiên cứu tin rằng một chương trình hoặc file chứa virus, họ có thể kiểm tra bằng phương pháp chạy nó trong 1 máy ảo.

Nếu file chứa virus, nó sẽ bắt đầu truyền nhiễm vào máy ảo. Do một máy ảo được thiết lập giống như máy thật, nên virus tin rằng nó đã lây nhiễm vào PC thực thụ chứ không phải máy ảo. Như vậy, nó bắt đầu phân phối payload của mình và gây thiệt hại cho máy ảo. May mắn thay, không có bất kỳ thiệt hại nào virus cũng đều có thể thi hành trên máy tính chính. Nó chỉ ảnh hưởng đến máy ảo mà thôi.

Một khi virus lộ diện, các nhà nghiên cứu cũng có thể tìm hiểu cách thức hoạt động của nó, sau đó thiết lập lại máy ảo. Tiếp theo, họ lấy những gì học được từ máy ảo và sử dụng chúng để tạo nên các khái niệm về virus nhằm bảo quản người dùng trên máy tính thật. Bởi vì điều này, các máy ảo là kẻ thù đối với những kẻ phát triển phần mềm độc hại.

Độ phân giải màn hình có vai trò gì trong việc này?

Có một lỗ hổng với phương pháp thí nghiệm ứng dụng này. Khi các nhà nghiên cứu ứng dụng độc hại tạo nên một máy ảo, họ không thực sự quan tâm đến tất cả những tính năng bổ sung. Tất cả những gì họ cần để kiểm tra virus là một máy ảo hoạt động như 1 máy tính bình thường, mọi thứ khác chỉ là tùy chọn.

Do đó, đôi lúc các nhà nghiên cứu không cài đặt phần mềm khách của VM. Phần mềm này kích hoạt các tính năng bổ sung như độ sắc nét màn hình cao hơn, mà nhà nghiên cứu không đích thực cần. Nếu người dùng không sử dụng phần mềm khách, VM thường khóa người dùng vào một trong hai độ sắc nét thấp: 800×600 và 1024×768.

Hai độ nét này rất quan trọng đối với một kẻ phát triển ứng dụng độc hại. Máy tính và laptop tối tân không thường đi kèm với màn hình ở độ nét đó. Kích thước đó rất lỗi thời.

Phần mềm độc hại sử dụng dữ liệu này để né VM như làm sao?

Như vậy, khi phần mềm độc hại xuất hiện trên máy tính chủ và chú ý thấy rằng nó chạy trên độ phân giải 800×600 hoặc 1024×768, thì nghĩa là malware cũng đều có thể đang chạy trên phần cứng rất lạc hậu hoặc có khả năng bị theo dấu trong 1 máy ảo.

Nếu virus hoạt động trong điều kiện này, nó sẽ bị lộ. Như vậy, để bảo vệ mình, phần mềm độc hại sẽ tự chấm dứt và không khiến thiệt hại.

Từ ý kiến của nhà nghiên cứu, chương trình đã chạy và không lây nhiễm gì vào PC, cho nên nó không phải virus. Sau đó, họ cũng có thể có thể đưa ra nhận định sai về chương trình, cho phép phần mềm độc hại đi xa hơn trước khi bị phát hiện.

Ví dụ về việc malware kiểm tra độ phân giải trong ngoài nước thực

Trickbot là một ví dụ tuyệt hảo về chiến thuật này trong thực tế. Các nhà nghiên cứu đã tìm cách xâm nhập vào một dòng code TrickBot gần đây và phân tích cách thức hoạt động của nó. Một người dùng Twitter có tên Mak (@maciekkotowicz) đã tìm thấy một quãng code trong TrickBot quét độ nét 800×600 hoặc 1024×768.

Trong đoạn code này, virus lấy các giá trị X và Y của độ phân giải trên máy tính, sau đó phối hợp chúng để xem kết quả. Nếu kết quả bằng 800×600 hoặc 1024×768, code sẽ trả về số 0. Điều này cho thấy phần mềm độc hại chạy trong máy ảo.

Khi phần mềm độc hại biết nó đang nằm trong 1 máy ảo, nó sẽ tự hủy để tránh bị phát hiện. Kết quả là, bất kể ai kiểm tra virus trong máy ảo sẽ coi đó là an toàn.

Chiến thuật này còn có ý nghĩa gì với bạn?

Tất nhiên, điều ấy còn có tức là nếu bạn sử dụng độ sắc nét 1024×768 hoặc 800×600, bạn sẽ có bảo quản khỏi một số loại phần mềm độc hại. Ngay khi đến hệ thống, chúng sẽ lưu ý độ nét của bạn và tự hủy trước lúc gây ra bất kỳ thiệt hại nào. Tuy nhiên, để tạo ra được sự bảo quản này, bạn bắt buộc phải sử dụng một máy tính có độ nét rất nhỏ!

Như vậy, cách tốt nhất để chống lại loại phần mềm độc hại gần đây là cập nhật phần mềm diệt virus. Giờ đây, mẹo nhỏ chống VM này là kiến ​​thức công khai, vì thế rất khó có khả năng các công ty bảo mật cấp cao sẽ bị lừa lần nữa.

Tuy nhiên, điều này đặc biệt cần lưu ý, nếu bạn có khuynh hướng kiểm tra các file trong số máy ảo của riêng mình. Nếu máy ảo của bạn đang chạy ở 800×600 hoặc 1024×768, thì việc cài đặt nó thành độ phân giải thông dụng hơn sẽ có mức giá trị. Nếu bạn không làm như vậy, không thể chắc chắn liệu file mà bạn đang kiểm tra có cài đặt giải pháp phòng ngừa chống VM này không.

malware, phần mềm độc hại, độ phân giải màn hình, Cách malware tránh bị phát hiện, malware lợi dụng độ phân giải màn hình để tránh phát hiện

Nội dung Cách malware lợi dụng độ phân giải màn hình để tránh bị phát hiện được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.