BOINC Зловреден софтуер

Защитата на устройствата от заплахи от зловреден софтуер е от решаващо значение за поддържане както на сигурността, така и на функционалността. Наскоро киберпрестъпниците са използвали BOINC (Berkeley Open Infrastructure for Network Computing), легитимна помощна програма за разпределени изчислителни проекти, за да изпълняват заплашителни дейности върху заразени системи. Имайте предвид, че това не е уязвимост в самия BOINC; вместо това зловредният софтуер незаконно инсталира BOINC, за да извършва своите операции.

Монтаж и Изпълнение

Зловреден софтуер зарежда BOINC на устройствата на потребителите без съгласие, като използва полезен товар на трета страна. Този метод заобикаля типичните инсталационни процеси, като гарантира, че BOINC се инсталира тайно. Използваните двоични файлове са взети директно от официалния инсталатор на BOINC 8.0.2, въпреки че самият инсталатор не се използва директно в инсталационния процес.

Заплашителни операции

При инсталиране зловредният софтуер инициира няколко опасни дейности:

• Създаване на скрит потребител на Windows : Има непотвърдени доклади за създаване на скрит потребител на Windows, което потенциално би могло да улесни допълнителен неоторизиран достъп.
• Инсталиране на услугата : Опасният софтуер се инсталира като услуга на заразените системи, въпреки че конкретни подробности като името на услугата в момента не се разкриват.
• Разпространение на файлове : Множество копия на BOINC се изтеглят в папката „C:\USERNAME\AppData\Roaming“ и нейните подпапки, разпространявайки присъствието му в цялата система.
• Преименуване на изпълним файл : клиентските изпълними файлове на BOINC се преименуват на общи имена на системни процеси като „.exe“, „gupdate.exe“, „SecurityHealthService.exe“ и „trustedinstaller.exe“. Тази маскировка има за цел да избегне откриването и да се слее със законните процеси.
• Създаване на фалшив сървър : Съобщава се за фалшив BOINC сървър, наподобяващ легитимния сървър Rosetta@home. Въпреки че името му остава неразкрито от съображения за сигурност, този сървър имитира легитимен проект за потенциална измама на потребителите и извършване на неразрешени действия.

Разпределение и въздействие

Методът на разпространение на този зловреден софтуер остава неясен, като жертвите спекулират, че може да е свързан с връзки към обществени Wi-Fi мрежи. Изглежда, че кампанията е насочена към потребители конкретно в Съединените щати, като засяга приблизително 7000 устройства с Windows, както се съобщава от фалшивия сървър на проекта.

Съвети за смекчаване и премахване

Изследователите предлагат следните стъпки за смекчаване на въздействието на този зловреден софтуер:

• Почистване на планировчика на задачи : Проверете и премахнете всички записи в планировчика на задачи, които изпълняват код от папката „Роуминг“. Тези записи може да изглеждат маскирани като легитимни процеси като актуализации на Mozilla или Google или могат просто да се състоят от долна черта, последвана от числа.
• Изтриване на файлове : Изтрийте всички нежелани файлове, съхранени в папката „Роуминг“ и нейните подпапки. Може да се наложи потребителите да прекратят процесите с помощта на „Диспечер на задачите“, за да гарантират, че всички опасни файлове могат да бъдат безопасно изтрити.

Като вземат тези предпазни мерки и остават бдителни срещу подозрителни дейности и инсталации, потребителите могат да помогнат за защитата на устройствата си от въздействието на заплашителен софтуер като злонамерения софтуер BOINC.