La resolución de tu pantalla influye en algunos virus y malware

Recientemente, la comunidad de desarrollo de virus y malware ha creado una nueva estrategia que evade la detección de una manera muy simple: comprobando a qué resolución tienes configurada la pantalla y actuando en consecuencia. Para encontrar la principal causa de por qué los desarrolladores de virus y malware han hecho que sus «programas» tengan en cuenta […]

Recientemente, la comunidad de desarrollo de virus y malware ha creado una nueva estrategia que evade la detección de una manera muy simple: comprobando a qué resolución tienes configurada la pantalla y actuando en consecuencia.

Para encontrar la principal causa de por qué los desarrolladores de virus y malware han hecho que sus «programas» tengan en cuenta la resolución de la pantalla tenemos  que considerar a  las máquinas virtuales.

Las máquinas virtuales son elementos muy útiles para expertos en ciberseguridad. Actúan como si fuera un PC dentro del PC, de manera que puedes instalar otros sistemas operativos o probar software potencialmente peligroso sin miedo a que afecte a tu máquina local. 

Si tienes un archivo con virus, comenzará infectando a la máquina virtual y ahí se quedará, ya que una máquina virtual se comporta como un PC y el virus o malware pensará que está infectando un PC local normal y corriente. Como tal, solo dañará e infectará a la máquina virtual, la cual siempre puedes borrar completamente y crear otra, quedando tu PC local protegido y seguro, y es por eso que los expertos en ciberseguridad las utilizan para desarrollar contramedidas contra estos dañinos virus.

No obstante, hay un fallo en este método de probar aplicaciones. Cuando se crea una máquina virtual para investigar un malware o virus, normalmente el investigador no está interesado en las funciones adicionales de la máquina virtual y no instala el software de gestión de la máquina. Ese software habilita funciones adicionales, como por ejemplo poder cambiar la resolución de la pantalla; si no lo usa, la VM (Virtual Machine, máquina virtual) normalmente bloquea la ventana en dos posibles resoluciones: 800 x 600 y 1024 x 768 píxeles.

Estas dos resoluciones son importantes para los desarrolladores de malware y virus, ya que son tan antiguas que ningún PC local (ni siquiera portátiles) las utilizan, y entonces el virus sabe que no se está ejecutando en un PC local.

Cómo hacen los malware para evitar ser detectados

Si el virus opera bajo una máquina virtual, es bastante probable que esté siendo investigado por un experto en ciber seguridad y por lo tanto activa un mecanismo de auto destrucción. Literalmente, el virus o malware no hace nada y se elimina a sí mismo del sistema, con el objetivo de no revelar sus secretos al investigador.

Desde la perspectiva de un investigador, el programa se ha ejecutado y no ha infectado el equipo, por lo que debe ser benigno, y éste le asignará un informe «falso negativo», lo que permite que el malware no sea detectado posteriormente por antivirus y programas anti malware.

¿En qué afecta esto a los usuarios?

Por supuesto, esto no significa que si usas resoluciones de 800 x 600 o 1024 x 768 en tu PC vayas a estar a salvo de virus o malware, simplemente significa que cuando los expertos en ciberseguridad estudian un programa para determinar si es seguro o no, esta táctica puede crear un falso negativo y que un programa infectado pase como seguro, evitando ser detectado por antivirus de todos los tipos.

Lo mejor que puedes hacer es, por supuesto, tener tu sistema de protección contra virus y malware siempre actualizada, ya que aunque inicialmente estos programas puedan dar falsos negativos en los antivirus y pasar como programas benignos, en cuanto se den cuenta del error lo solventarán a la mayor brevedad posible.