灭绝人性的TrickBot木马早已刚开始检查受害人的屏幕分辨率，以检验恶意软件是不是在vm虚拟机中运作。

　　现阶段Trickbot被获评最大产新冠病毒COVID-19主题风格恶意软件，Trickbot最开始是一家金融机构木马，但以后常常用以进攻以丢掉别的恶意软件，如勒索病毒，VNC手机客户端和远程登录恶意软件。仅在上星期，与Trickbo有关的行動就传出了百余封电子邮件，宣称与COVID-19诊疗提议和检测相关，每封电子邮件的目地全是根据与众不同的“宏观经济”故意文本文档配件来引诱客户安裝Trickbot恶意软件。

　　当科学研究工作人员剖析恶意软件时，她们一般 在配备了各种各样分析工具的vm虚拟机中开展。

　　因而，恶意软件一般 应用反vm虚拟机技术性来检验该恶意软件是不是已经vm虚拟机中运作。如果是得话，很可能是由科学研究工作人员或全自动沙盒结构化分析的。

　　这种反vm虚拟机技术性包含搜索特殊的过程，Windows服务项目或计算机名称，乃至检查网口MAC地址或CPU作用。

　　TrickBot应用屏幕分辨率做为反vm虚拟机检查

　　在网络信息安全企业MalwareLab的Maciej Kotowicz发觉的TrickBot木马的新样版中，该恶意软件如今已经检查受感柒电子计算机的屏幕分辨率，以明确它是不是一台vm虚拟机。

　　TrickBot从金融机构木马刚开始，伴随着时间的流逝早已演化为能够实行各种各样故意个人行为的程序流程了。

　　故意个人行为包含根据互联网横着散播，窃取电脑浏览器中储存的凭证，窃取Active Directory服务项目数据库查询，窃取Cookie和OpenSSH密匙，窃取RDP，VNC和PuTTY凭据等。

　　Kotowicz在一条推原文中强调，新的TrickBot实例已经检查电子计算机的屏幕分辨率是800x600還是1024x768，如果是，则TrickBot将停止。

　　TrickBot已经检查这种特殊的分辨率，由于科学研究工作人员一般 是如何配置其恶意软件剖析vm虚拟机的。

　　在配备vm虚拟机时，大部分科学研究工作人员不容易安裝VM guest虚拟机软件，此软件能够出示更强的屏幕分辨率，更强的电脑鼠标操纵，改善的互联网及其别的作用。

　　未安裝此软件是由于恶意软件一般 会检查vm虚拟机宾客软件应用的文档、注册表项和过程。

　　可是，要是没有宾客手机软件，与高些的一般屏幕分辨率对比，vm虚拟机一般 将不允许除800x600和1024x768之外的一切分辨率。

　　比如，当未安裝其宾客加上手机软件时，时兴的免费虚拟机手机软件VirtualBox的默认设置分辨率为1024x768。

　　高級Intel的Vitali Kremez也告知BleepingComputer，在全自动沙盒恶意软件剖析解决方法中应用的vm虚拟机也应用这类默认设置解决方法。Kremez告知BleepingComputer：

　　“Cuckoo VM一般 具备精准的分辨率。别的沙盒游戏模块（比如JoeSandbox和Any App Run）也依靠具备默认设置VM分辨率的完全一致的方式 。”

　　知道这一点，TrickBot开发者就将这种屏幕分辨率检查作为另一项反vm虚拟机检查的指标值。

　　参照及来源于：https://www.bleepingcomputer.com/news/security/trickbot-malware-now-checks-screen-resolution-to-evade-analysis/