Вторник, 27 октября, 19:52
дома безопасность TrickBot проверяет разрешение экрана, чтобы найти виртуальные машины

TrickBot проверяет разрешение экрана, чтобы найти виртуальные машины

Печально известный троян TrickBot теперь под контролем анализ на экране машины, чтобы узнать, является ли она виртуальной машиной.

Trickbot

Вредоносные программы обычно используют методы защиты от виртуальных машин, чтобы определить, работают ли они на виртуальной машине, так как в этом случае они, скорее всего, анализируются исследователем или автоматизированной системой. песочница.

Эти методы анти-VM включают поиск определенных процессов, сервисов Windows или имена компьютеров, и даже проверить MAC-адреса или функции сети CPU / ЦЕНТРАЛЬНЫЙ ПРОЦЕССОР.

TrickBot проверяет разрешение экрана

Как обнаружил исследователь MalwareLab, Мацей Котович новый руководитель TrickBot Trojan теперь контролирует анализ экрана зараженного человека компьютер, чтобы определить, является ли это виртуальной машиной.

Изначально TrickBot был простым троянец, которая развивалась с течением времени и сейчас выполняет ряд других вредоносных действий.

Такие действия включают кражу хранимых учетных данных в браузерах, кражу баз данных Active Directory, кражу файлов cookie и ключей OpenSSH, кражу учетных данных RDP, VNC и PuTTY и многое другое.

Как сказал Котович в своем твите, новый руководитель TrickBot проверяет, является ли разрешение экрана компьютера 800 × 600 или 1024 × 768, и если оно есть, оно прекращается.

прометий

TrickBot проверяет эти конкретные анализы, в зависимости от того, каким образом исследователи они обычно образуют виртуальные машины для анализа вредоносных программ.

При настройке виртуальной машины большинство исследователей не устанавливают гостевое программное обеспечение ВМ, которое обеспечивает лучшее разрешение экрана, лучшее управление мышью, улучшенные сетевые и другие функции.

Это программное обеспечение не устанавливается, поскольку вредоносная программа обычно проверяет файлы, ключи реестра и процессы, используемые гостевым программным обеспечением виртуальной машины.

Однако без гостевого программного обеспечения виртуальная машина обычно не допускает разрешения, превышающие 800 × 600 и 1024 × 768, по сравнению с обычными разрешениями экрана, которые намного выше.

Поэтому создатели TrickBot проверяют разрешение экрана, чтобы определить, является ли это виртуальной машиной, и завершают процесс.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

ЖИВЫЕ НОВОСТИ

00: 01: 47

Нарушение данных в юридической фирме раскрывает данные сотрудников Google

Иммиграционная юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP заявила, что в ней произошла утечка данных, которая привела к утечке личных данных ...

Как установить файл .watchface на Apple Watch

Apple Watch позволяет настроить циферблат часов для отображения всевозможной полезной информации. Но знаете ли вы ...

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...