臭名昭著的TrickBot木马已经开始检查受害者的屏幕分辨率，以检测恶意软件是否在虚拟机中运行。

目前Trickbot被评为最高产冠状病毒COVID-19主题恶意软件，Trickbot最初是一家银行木马，但之后经常用于攻击以丢弃其他恶意软件，如勒索软件，VNC客户端和远程访问恶意软件。仅在上周，与Trickbo相关的行动就发出了数百封电子邮件，声称与COVID-19医疗建议和测试有关，每封电子邮件的目的都是通过独特的“宏观”恶意文档附件来诱惑用户安装Trickbot恶意软件。

当研究人员分析恶意软件时，他们通常在配置了各种分析工具的虚拟机中进行。

因此，恶意软件通常使用反虚拟机技术来检测该恶意软件是否正在虚拟机中运行。如果是的话，很可能是由研究人员或自动沙箱系统分析的。

这些反虚拟机技术包括查找特定的进程，Windows服务或计算机名称，甚至检查网卡MAC地址或CPU功能。

TrickBot使用屏幕分辨率作为反虚拟机检查

在网络安全公司MalwareLab的Maciej Kotowicz发现的TrickBot木马的新样本中，该恶意软件现在正在检查受感染计算机的屏幕分辨率，以确定它是否是一台虚拟机。

TrickBot从银行木马开始，随着时间的流逝已经演变为可以执行各种恶意行为的程序了。

恶意行为包括通过网络横向传播，窃取浏览器中保存的凭据，窃取Active Directory服务数据库，窃取Cookie和OpenSSH密钥，窃取RDP，VNC和PuTTY凭证等。

Kotowicz在一条推文中指出，新的TrickBot示例正在检查计算机的屏幕分辨率是800x600还是1024x768，如果是，则TrickBot将终止。

TrickBot正在检查这些特定的分辨率，因为研究人员通常是如何配置其恶意软件分析虚拟机的。

在配置虚拟机时，大多数研究人员不会安装VM guest虚拟机软件，该软件可以提供更好的屏幕分辨率，更好的鼠标控制，改进的网络以及其他功能。

未安装该软件是因为恶意软件通常会检查虚拟机来宾软件使用的文件、注册表项和进程。

但是，如果没有来宾软件，与更高的普通屏幕分辨率相比，虚拟机通常将不允许除800x600和1024x768以外的任何分辨率。

例如，当未安装其来宾添加软件时，流行的免费虚拟机软件VirtualBox的默认分辨率为1024x768。

高级Intel的Vitali Kremez也告诉BleepingComputer，在自动沙箱恶意软件分析解决方案中使用的虚拟机也使用这种默认解决方案。Kremez告诉BleepingComputer：

“Cuckoo VM通常具有精确的分辨率。其他沙盒引擎（例如JoeSandbox和Any App Run）也依赖具有默认VM分辨率的完全相同的方法。”

知道了这一点，TrickBot开发人员就将这些屏幕分辨率检查用作另一项反虚拟机检查的指标。

本文翻译自：https://www.bleepingcomputer.com/news/security/trickbot-malware-now-checks-screen-resolution-to-evade-analysis/如若转载，请注明原文地址：