BOINC Malware

Beskyttelse af enheder mod malware-trusler er afgørende for at opretholde både sikkerhed og funktionalitet. For nylig har cyberkriminelle udnyttet BOINC (Berkeley Open Infrastructure for Network Computing), et legitimt værktøj til distribuerede computerprojekter, til at udføre truende aktiviteter på inficerede systemer. Bemærk, at dette ikke er en sårbarhed i selve BOINC; i stedet installerer malwaren ulovligt BOINC til at udføre sine operationer.

Installation og udførelse

Malwaren indlæser BOINC på brugernes enheder uden samtykke ved hjælp af en tredjeparts nyttelast. Denne metode omgår typiske installationsprocesser og sikrer, at BOINC installeres i det skjulte. De anvendte binære filer er taget direkte fra det officielle BOINC-installationsprogram 8.0.2, selvom installationsprogrammet ikke er direkte ansat i installationsprocessen.

Truende operationer

Efter installationen igangsætter malwaren flere usikre aktiviteter:

• Oprettelse af skjult Windows-bruger : Der er ubekræftede rapporter om, at en skjult Windows-bruger oprettes, hvilket potentielt kan lette yderligere uautoriseret adgang.
• Serviceinstallation : Skadelig software installeres som en service på de inficerede systemer, selvom specifikke detaljer såsom tjenestenavnet i øjeblikket ikke er afsløret.
• Fildistribution : Flere kopier af BOINC downloades til mappen 'C:\USERNAME\AppData\Roaming' og dens undermapper, hvorved dens tilstedeværelse spredes på tværs af systemet.
• Eksekverbar omdøbning : Eksekverbare BOINC-klienter omdøbes til almindelige systemprocesnavne såsom '.exe,' 'gupdate.exe,' 'SecurityHealthService.exe' og 'trustedinstaller.exe.' Denne forklædning har til formål at undgå opdagelse og blande sig med legitime processer.
• Oprettelse af falsk server : En falsk BOINC-server, der ligner den legitime Rosetta@home-server, er blevet rapporteret. Selvom dens navn forbliver uoplyst af sikkerhedsmæssige årsager, efterligner denne server et legitimt projekt for potentielt at bedrage brugere og udføre uautoriserede handlinger.

Distribution og effekt

Distributionsmetoden for denne malware er stadig uklar, og ofre spekulerer i, at den kan være forbundet med forbindelser til offentlige Wi-Fi-netværk. Kampagnen ser ud til at målrette mod brugere specifikt i USA, der påvirker cirka 7.000 Windows-enheder som rapporteret af den falske projektserver.

Rådgivning om afbødning og fjernelse

Forskere foreslår følgende trin for at afbøde virkningen af denne malware:

• Oprydning af opgaveplanlægning : Kontroller og fjern alle poster i opgaveplanlæggeren, der udfører kode fra mappen 'Roaming'. Disse poster kan forekomme forklædt som legitime processer såsom Mozilla- eller Google-opdateringer, eller de kan blot bestå af en understregning efterfulgt af tal.
• Filsletning : Slet alle uønskede filer gemt i 'Roaming'-mappen og dens undermapper. Brugere skal muligvis afslutte processer ved hjælp af 'Task Manager' for at sikre, at alle usikre filer sikkert kan slettes.

Ved at tage disse forholdsregler og forblive på vagt over for mistænkelige aktiviteter og installationer, kan brugere hjælpe med at beskytte deres enheder mod virkningerne af truende software som BOINC malware.