Как вредоносная программа TrickBot избегает анализа?

Печально известный троян TrickBot начал проверять разрешение экрана жертв, чтобы определить, работает ли вредоносное ПО на виртуальной машине.

Когда специалисты анализируют вредоносные программы, они обычно делают это на виртуальной машине, которая настроена с помощью различных инструментов анализа.

Из-за этого вредоносные программы обычно используют методы защиты от виртуальных машин, чтобы определить, работает ли там вредоносное ПО. Если это так, то, скорее всего, его анализирует специалист или автоматизированная система песочницы.

TrickBot использует разрешение экрана для проверки работы на виртуальной машине

В новом образце TrickBot Trojan обнаруженного фирмой по кибербезопасности MalwareLab, вредоносный программа теперь проверяет разрешение экрана зараженного компьютера, чтобы определить, виртуальная ли это машина.

Созданный как банковский троян, TrickBot со временем эволюционировал для выполнения различных вредоносных действий. Теперь он включает в себя:

• Распространение по сети через сеть.
• Кражу сохраненных учетных данных в браузерах.
• Кражу баз данных служб Active Directory.
• Кражу файлов cookie и ключей OpenSSH.
• Кражу учетных данных RDP, VNC и PuTTY и многое другое.

Новый образец TrickBot проверяет, является ли разрешение экрана компьютера 800×600 или 1024×768, и, если это так, TrickBot прекращает работу.

Без гостевого ПО виртуальная машина, как правило, не допускает никаких разрешений, кроме 800×600 и 1024×768 (по сравнению с обычными разрешениями экрана, которые намного выше).