Selama bertahun-tahun, para pengembang malware dan pakar keamanan siber telah berperang mencoba untuk saling melengkapi. Baru-baru ini, komunitas pengembang malware menyebarkan strategi baru untuk menghindari deteksi: memeriksa resolusi layar.
Mari kita telusuri mengapa resolusi layar penting bagi malware, dan apa artinya bagi Anda.
Mengapa Malware Peduli Tentang Resolusi Layar
Untuk mencari tahu mengapa malware peduli dengan resolusi layar, kita harus melihat salah satu musuh terburuknya; itu mesin virtual Apa itu Mesin Virtual? Semua yang Perlu Anda KetahuiMesin virtual memungkinkan Anda untuk menjalankan sistem operasi lain di komputer Anda saat ini. Inilah yang harus Anda ketahui tentang mereka. Baca lebih banyak .
Mesin virtual adalah alat yang berguna bagi para peneliti virus. Mereka bertindak sebagai "komputer di dalam komputer," sehingga Anda dapat menggunakan sistem operasi lain tanpa perlu PC baru.
Misalnya, jika Anda memiliki komputer Windows 10 tetapi Anda ingin menggunakan Linux, Anda dapat mengatur mesin virtual di dalam Windows 10 untuk menjalankan Linux. Ini akan bertindak seperti mesin Linux tetapi berjalan di jendela di Windows 10.
Mesin virtual sangat berguna bagi para peneliti virus, karena mereka bertindak sebagai perangkap lalat venus digital. Jika seorang peneliti percaya suatu program atau file mengandung virus, mereka dapat mengujinya dengan menjalankannya dalam mesin virtual.
Jika file tersebut mengandung virus, ia akan mulai menginfeksi mesin virtual. Karena mesin virtual disetel seperti yang asli, virus tersebut percaya bahwa ia menginfeksi PC nyata dan bukan yang virtual. Karena itu, ia mulai mengirimkan muatannya dan melakukan kerusakan pada mesin virtual. Untungnya, tidak ada kerusakan yang dilakukan oleh virus “terbawa” ke komputer utama; itu hanya mempengaruhi yang virtual.
Setelah virus telah memberikan permainan, peneliti dapat mempelajari cara kerjanya kemudian mereset mesin virtual. Mereka kemudian mengambil apa yang mereka pelajari dari mesin virtual dan menggunakannya untuk membuat definisi virus untuk melindungi komputer orang yang sebenarnya.
Karena itu, mesin virtual adalah kutukan bagi pengembang malware. Jika seseorang mencurigai bahwa suatu program mengandung malware, mereka dapat mem-boot-nya di mesin virtual dan menghapusnya jika itu buruk.
Di mana Resolusi Layar Datang Ke Ini?
Ada satu kelemahan dengan metode pengujian aplikasi ini. Ketika seorang peneliti malware menciptakan mesin virtual, mereka tidak benar-benar tertarik pada semua fitur tambahan. Yang mereka butuhkan untuk menguji virus adalah mesin virtual yang bertindak seperti komputer biasa — yang lainnya opsional.
Akibatnya, peneliti terkadang tidak menginstal perangkat lunak tamu VM. Perangkat lunak ini memungkinkan fitur tambahan seperti resolusi layar yang lebih tinggi, yang tidak benar-benar dibutuhkan peneliti. Jika pengguna tidak menggunakan perangkat lunak tamu, VM biasanya mengunci pengguna menjadi salah satu dari dua resolusi rendah: 800 × 600 dan 1024 × 768.
Kedua resolusi ini penting untuk pengembang malware. Komputer dan laptop modern biasanya tidak dilengkapi dengan layar pada resolusi itu; sangat ketinggalan jaman.
Bahkan, Anda bisa melihat betapa ketinggalan jamannya Statcounter, yang mengumpulkan informasi tentang resolusi yang paling sering digunakan. Pada saat penulisan, resolusi cenderung lebih besar atau lebih kecil dari contoh VM di atas.
Di satu sisi spektrum, Anda memiliki resolusi standar 1366 × 768 untuk laptop dan 1920 × 1080 untuk monitor PC. Di sisi lain, Anda akan menemukan layar kecil 360 × 640 sedang digunakan — itu adalah smartphone.
800 × 600 dan 1024 × 768 tidak muncul sama sekali. Kebalikan dari yang terakhir, 768 × 1024, memang ada; ini adalah resolusi iPad. Namun, bahkan ini hanya memakan waktu 2,6 persen, artinya 97,4 persen perangkat menggunakan resolusi yang berbeda.
Bagaimana Malware Menggunakan Data Ini untuk Menghindari VM
Dengan demikian, ketika malware mendarat di komputer induk dan mencatat bahwa malware itu berjalan pada 800 × 600 atau 1024 × 768, itu baik pada perangkat yang sangat usang atau — lebih mungkin — mereka sedang diawasi dalam virtual mesin.
Jika virus beroperasi dalam kondisi ini, itu akan memberikan permainan tepat di bawah pengawasan seorang peneliti virus. Dengan demikian, untuk melindungi rahasianya, malware itu memutuskan sendiri dan tidak merusak.
Dari perspektif peneliti, program berjalan dan tidak menginfeksi PC, jadi itu pasti jinak. Mereka kemudian dapat menetapkan laporan negatif palsu untuk program, memungkinkan malware untuk melakukan perjalanan lebih jauh sebelum akhirnya tertangkap.
Contoh-Contoh Malware Pengecek Resolusi di Dunia Nyata
Trickbot adalah contoh yang sangat baik dari taktik ini di alam liar. Para peneliti berhasil membobol kode TrickBot terbaru dan menganalisis cara kerjanya. Salah satu pengguna Twitter yang dikenal sebagai Mak (@maciekkotowicz) menemukan sepotong kode dalam TrickBot yang memindai resolusi 800 × 600 atau 1024 × 768.
Hari ini #Trickbot loader dengan resolusi layar #antivm Trik, jika Anda memiliki resolusi 800 × 600 atau 1024 × 768 - Anda aman! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30 Juni 2020
Dalam potongan kode ini, virus mengambil nilai X dan Y dari resolusi komputer lalu menggabungkannya untuk melihat hasilnya. Jika hasilnya sama dengan 800 × 600 atau 1024 × 768, kode mengembalikan angka 0. Ini memberi tahu malware bahwa itu berjalan di VM.
Setelah malware mengetahuinya di dalam mesin virtual, malware itu menghancurkan dirinya sendiri untuk menghindari deteksi. Akibatnya, siapa pun yang memeriksa virus di mesin virtual akan salah menganggapnya aman.
Apa Artinya Taktik Ini untuk Anda
Tentu saja, ini berarti bahwa jika Anda menggunakan resolusi 1024 × 768 atau 800 × 600, Anda akan mendapatkan perlindungan dari beberapa jenis malware. Begitu mereka tiba, mereka akan mencatat resolusi Anda dan meledakkan diri sebelum mereka melakukan kerusakan. Namun, apa yang Anda peroleh dalam perlindungan, Anda akan kehilangan kewarasan Anda dengan menggunakan komputer dengan resolusi yang begitu sempit!
Dengan demikian, cara terbaik Anda untuk melawan jenis malware baru ini adalah dengan memperbarui antivirus Anda. Sekarang trik anti-VM ini adalah pengetahuan umum, kecil kemungkinan perusahaan keamanan kelas atas akan terkecoh lagi.
Namun, ini penting untuk dicatat jika Anda memiliki kecenderungan untuk menguji file di mesin virtual Anda sendiri. Jika VM Anda berjalan pada 800 × 600 atau 1024 × 768, ada baiknya mengaturnya ke resolusi yang lebih populer. Jika tidak, Anda tidak dapat memastikan apakah file yang Anda uji memiliki tindakan pencegahan anti-VM ini diinstal.
Tetap Aman dari Virus Sneaky
Dengan keamanan siber yang menjadi industri besar, pengembang malware harus beradaptasi untuk tetap selangkah lebih maju. Strain malware baru akan menghindari penangkapan jika dijalankan dalam VM yang tidak siap, jadi jika Anda menggunakan VM untuk pengujian virus, pastikan untuk mengingatnya.
Antivirus terbaik adalah akal sehat, jadi mengapa tidak belajar cara mudah untuk tidak pernah mendapatkan virus 10 Cara Mudah untuk Tidak Pernah Mendapatkan VirusDengan sedikit pelatihan dasar, Anda dapat sepenuhnya menghindari masalah virus dan malware di komputer dan perangkat seluler Anda. Sekarang Anda bisa tenang dan menikmati internet! Baca lebih banyak ?
Pengungkapan Afiliasi: Dengan membeli produk yang kami sarankan, Anda membantu menjaga situs tetap hidup. Baca lebih lajut.
Lulusan Ilmu Komputer BSc dengan hasrat mendalam untuk semua hal keamanan. Setelah bekerja untuk sebuah studio game indie, ia menemukan hasratnya untuk menulis dan memutuskan untuk menggunakan keahliannya untuk menulis tentang semua hal teknologi.
