发现了一个新的TrickBot示例,该示例检查受害者计算机的屏幕分辨率,可以查看恶意软件是否在虚拟机中运行。
为了在分析恶意软件时保护自己及其系统,恶意软件经常采用反VM技术来检测其是否在虚拟机中运行。
恶意软件使用的反VM技术包括查找特定进程,Windows服务,计算机名称以及检查网卡MAC地址或CPU功能。
如果恶意软件检测到确实在虚拟机中运行,它将停止其运行,避免为研究人员提供进一步的线索,了解恶意软件的工作原理和部署人员。
网络安全公司MalwareLab的Maciej Kotowicz找到了TrickBot木马的新样本,该样本检查了受感染计算机的屏幕分辨率,确定它是否是虚拟机。
TrickBot最初是从银行木马开始的,但已经演变为执行其他恶意行为,包括通过网络横向传播,窃取保存在浏览器中的凭据,窃取Cookie等。
Kotowicz首先在推文中公开了他的发现,他透露说,新的TrickBot示例正在检查受感染的计算机,以查看它们的分辨率是800x600还是1024x768。如果找到这些解决方法之一,则TrickBot将停止运行。
恶意软件检查这两种解决方案的原因尤其是由于研究人员如何配置他们用来分析恶意软件的虚拟机。设置虚拟机时,大多数研究人员不会安装允许其使用更高分辨率的VM guest虚拟机软件。如果未安装此软件,则虚拟机通常将不允许使用800x600和1024x768以外的任何分辨率。
尽管对于研究恶意软件的研究人员来说是不幸的,但是这种新的反VM检查实际上非常聪明,希望其他恶意软件开发人员不要效仿并将此功能添加到他们的恶意软件中。