نسخه جدید بدافزار معروف TrickBot برای اطمینان از اجرا نشدن در بسترهای مجازی اقدام به بررسی وضوح صفحه نمایش (Screen Resolution) قربانی میکند.
تحلیلگران بدافزار معمولاً با بهرهگیری از ابزارهای مختلف، فایلهای مشکوک را در بسترهای مجازی مورد بررسی قرار میدهند. به همین خاطر بدافزارهای پیشرفته مجهز به قابلیت موسوم به ضدماشینمجازی (Anti-VM) تلاش میکنند تا با روشهایی همچون جستجوی پروسههای خاص، سرویسهای سیستم عامل، نام ماشین، نشانی MAC و مشخصههای CPU از اجرا شدن و افشای عملکرد خود در بستر مورد استفاده تحلیلگران بدافزار یا سیستمهای معروف به سندباکس خودداری کنند.
اکنون محققان اعلام کردهاند که بررسی میزان وضوح صفحه نمایش دستگاه قربانی بهعنوان یک روش جدید برای شناسایی بسترهای مجازی به فهرست قابلیتهای TrickBot افزوده شده است. بدینترتیب که در صورتی که وضوح 800×600 یا 1024×768 باشد TrickBot اجرای خود را متوقف میکند.
به گزارش شرکت مهندسی شبکه گستر، در حالت عادی بهمنظور افزایش امکانات ماشین مجازی نظیر وضوح تصویر بالاتر و کنترل بیشتر بر روی موشواره، لازم است که ابزاری موسوم به Guest Software بر روی ماشین نصب شود. اما از آنجا که نصب این ابزار سبب ایجاد کلیدهایی در محضرخانه (Registry) و اجرای پروسههایی میشود که وجود آنها به سبب برخی تکنیکهای ضدماشینمجازی بدافزارها موجب از کار افتادن بدافزار میشود محققان نیز از نصب آن خودداری میکنند. بنابراین وضوح صفحه بر روی اکثر ماشینهای مجازی مورد استفاده تحلیلگران بدافزار 800×600 یا 1024×768 است.
TrickBot که در ابتدا در نقش یک اسب تروای بانکی ظهور کرد دائماً در حال تکامل قابلیتهای مخرب خود بوده است.
از جمله این قابلیتها میتوان به انتشار در سطح شبکه و سرقت اطلاعات اصالتسنجی ذخیره شده در مرورگرها، بانکهای داده سرویسهای Active Directory، کوکیها، کلیدهای OpenSSH، اطلاعات اصالتسنجی RDP، رمز عبور VNC و اطلاعات اصالتسنجی PuTTY اشاره کرد.