Comment les logiciels malveillants utilisent la résolution d’écran pour éviter la détection

malware-résolution d'écran

Au fil des ans, les développeurs de logiciels malveillants et les experts en cybersécurité se sont fait la guerre en essayant de se surpasser. Récemment, la communauté des développeurs de logiciels malveillants a déployé une nouvelle stratégie pour échapper à la détection : vérifier la résolution de l’écran.

Voyons pourquoi la résolution d’écran est importante pour les logiciels malveillants et ce que cela signifie pour vous.

Pourquoi les logiciels malveillants se soucient de la résolution de l’écran

Pour savoir pourquoi les logiciels malveillants se soucient de la résolution de l’écran, nous devons jeter un coup d’œil à l’un de ses pires ennemis ; la machine virtuelle.

Les machines virtuelles sont un outil utile pour les chercheurs en virus. Ils agissent comme un “ordinateur à l’intérieur d’un ordinateur”, vous pouvez donc utiliser un autre système d’exploitation sans avoir besoin d’un nouveau PC.

Par exemple, si vous avez un ordinateur Windows 10 mais que vous souhaitez utiliser Linux, vous pouvez configurer une machine virtuelle à l’intérieur de Windows 10 pour exécuter Linux. Il agira comme une machine Linux mais s’exécute dans une fenêtre de Windows 10.

Les machines virtuelles sont très utiles aux chercheurs en virus, car elles agissent comme un piège à mouches de Vénus numérique. Si un chercheur pense qu’un programme ou un fichier contient un virus, il peut le tester en l’exécutant sur une machine virtuelle.

Si le fichier contient un virus, il commencera à infecter la machine virtuelle. Parce qu’une machine virtuelle est configurée comme une vraie, le virus pense qu’il infecte un vrai PC et non un virtuel. En tant que tel, il commence à livrer sa charge utile et à endommager la machine virtuelle. Heureusement, aucun des dommages causés par un virus ne « se transmet » à l’ordinateur principal ; cela n’affecte que le virtuel.

Une fois que le virus a trahi le jeu, le chercheur peut étudier son fonctionnement puis réinitialiser la machine virtuelle. Ils prennent ensuite ce qu’ils ont appris de la machine virtuelle et l’utilisent pour créer des définitions de virus afin de protéger les ordinateurs réels des utilisateurs.

Pour cette raison, les machines virtuelles sont le fléau des développeurs de logiciels malveillants. Si quelqu’un soupçonne qu’un programme héberge un logiciel malveillant, il peut le démarrer dans une machine virtuelle et le supprimer s’il est mauvais.

D’où vient la résolution d’écran?

Il y a un défaut avec cette méthode de test des applications. Lorsqu’un chercheur de logiciels malveillants crée une machine virtuelle, il n’est pas vraiment intéressé par toutes les fonctionnalités supplémentaires. Tout ce dont ils ont besoin pour tester les virus est une machine virtuelle qui agit comme un ordinateur normal — tout le reste est facultatif.

Par conséquent, les chercheurs n’installent parfois pas le logiciel invité de la machine virtuelle. Ce logiciel permet des fonctionnalités supplémentaires telles que des résolutions d’écran plus élevées, dont le chercheur n’a pas vraiment besoin. Si l’utilisateur n’utilise pas le logiciel invité, la machine virtuelle verrouille généralement l’utilisateur dans l’une des deux résolutions basses : 800 x 600 et 1 024 x 768.

Ces deux résolutions sont importantes pour un développeur de logiciels malveillants. Les ordinateurs et les ordinateurs portables modernes ne sont généralement pas équipés d’écrans à cette résolution ; c’est très obsolète.

Le graphique de Statcounter montrant la popularité de la résolution

En fait, vous pouvez voir à quel point il est obsolète sur Statcounter, qui collecte des informations sur les résolutions les plus utilisées. Au moment de la rédaction, les résolutions ont tendance à être plus grandes ou plus petites que les exemples de VM ci-dessus.

D’un côté du spectre, vous avez la résolution standard 1366×768 pour les ordinateurs portables et 1920×1080 pour les moniteurs PC. De l’autre côté, vous trouverez de minuscules écrans 360×640 en cours d’utilisation — ce sont des smartphones.

800×600 et 1024×768 n’apparaissent pas du tout. L’inverse de ce dernier, 768×1024, existe bel et bien ; c’est une résolution iPad. Cependant, même cela ne prend que 2,6 %, ce qui signifie que 97,4 % des appareils utilisent des résolutions différentes.

Comment les logiciels malveillants utilisent ces données pour éviter les machines virtuelles

En tant que tel, lorsqu’un logiciel malveillant atterrit sur un ordinateur hôte et note qu’il s’exécute sur 800×600 ou 1024×768, il s’agit soit d’un matériel très obsolète, soit, plus probablement, d’une surveillance au sein d’une machine virtuelle.

Si le virus opère dans ces conditions, il révélera le jeu sous les yeux d’un chercheur de virus. Ainsi, afin de protéger ses secrets, le logiciel malveillant s’auto-termine et ne cause aucun dommage.

Du point de vue du chercheur, le programme s’est exécuté et n’a pas infecté le PC, il doit donc être bénin. Ils peuvent alors attribuer un faux rapport négatif au programme, permettant au logiciel malveillant de voyager plus loin avant d’être finalement détecté.

Exemples de logiciels malveillants de vérification de résolution dans le monde réel

Trickbot est un excellent exemple de cette tactique à l’état sauvage. Les chercheurs ont réussi à s’introduire dans une souche récente du code de TrickBot et ont analysé son fonctionnement. Un utilisateur de Twitter connu sous le nom de Mak (@maciekkotowicz) a trouvé un morceau de code dans TrickBot qui recherche une résolution de 800×600 ou 1024×768.

Dans ce morceau de code, le virus saisit les valeurs X et Y de la résolution de l’ordinateur, puis les combine pour voir le résultat. Si le résultat est égal à 800 x 600 ou 1 024 x 768, le code renvoie le nombre 0. Cela indique au programme malveillant qu’il s’exécute sur une machine virtuelle.

Une fois que le logiciel malveillant sait qu’il se trouve dans une machine virtuelle, il s’autodétruit pour éviter d’être détecté. Par conséquent, toute personne recherchant des virus dans une machine virtuelle la considérera à tort comme sûre.

Ce que cette tactique signifie pour vous

Bien sûr, cela signifie que si vous avez utilisé une résolution de 1024×768 ou 800×600, vous serez protégé contre certaines souches de logiciels malveillants. Dès qu’ils arrivent, ils notent votre résolution et s’auto-explosent avant de faire des dégâts. Cependant, ce que vous gagnez en protection, vous le perdrez en santé mentale en utilisant un ordinateur avec une résolution aussi restreinte !

En tant que tel, votre meilleur pari pour lutter contre cette nouvelle souche de logiciels malveillants est de mettre à jour votre antivirus. Maintenant que cette astuce anti-VM est de notoriété publique, il est peu probable que les sociétés de sécurité haut de gamme soient à nouveau dupes.

Cependant, ceci est important à noter si vous avez tendance à tester des fichiers sur vos propres machines virtuelles. Si votre machine virtuelle fonctionne à 800×600 ou 1024×768, cela vaut la peine de la régler sur une résolution plus populaire. Si vous ne le faites pas, vous ne pouvez pas être certain que le fichier que vous testez a cette précaution anti-VM installée.

Rester à l’abri des virus sournois

La cybersécurité devenant l’énorme industrie qu’elle est, les développeurs de logiciels malveillants doivent s’adapter pour garder une longueur d’avance. De nouvelles souches de logiciels malveillants échapperont à la capture si elles sont exécutées sur une machine virtuelle non préparée, donc si vous utilisez des machines virtuelles pour les tests de virus, assurez-vous de garder cela à l’esprit.

Le meilleur antivirus est le bon sens, alors pourquoi ne pas apprendre les moyens simples de ne jamais attraper de virus ?

Leave a Comment

Your email address will not be published. Required fields are marked *