BOINC pahavara
Seadmete kaitsmine pahavaraohtude eest on nii turvalisuse kui ka funktsionaalsuse säilitamiseks ülioluline. Hiljuti on küberkurjategijad kasutanud BOINC-i (Berkeley Open Infrastructure for Network Computing), mis on legitiimne utiliit hajutatud andmetöötlusprojektide jaoks, et teostada nakatunud süsteemides ähvardavaid tegevusi. Pange tähele, et see ei ole BOINC-i enda haavatavus; selle asemel installib pahavara oma toimingute tegemiseks ebaseaduslikult BOINC-i.
Sisukord
Paigaldamine ja teostus
Pahavara laadib BOINCi kasutajate seadmetesse ilma nõusolekuta, kasutades kolmanda osapoole kasulikku koormust. See meetod möödub tüüpilistest installiprotsessidest, tagades BOINCi salajase installimise. Kasutatavad kahendfailid on võetud otse ametlikust BOINC installerist 8.0.2, kuigi installijat ennast installiprotsessis otseselt ei kasutata.
Ähvardavad operatsioonid
Paigaldamisel käivitab pahavara mitu ebaturvalist tegevust:
- Varjatud Windowsi kasutaja loomine : on kinnitamata aruandeid peidetud Windowsi kasutaja loomise kohta, mis võib potentsiaalselt hõlbustada edasist volitamata juurdepääsu.
- Teenuse installimine : nakatunud süsteemidesse installitakse teenusena kahjulik tarkvara, kuigi konkreetseid üksikasju, nagu teenuse nimi, ei avaldata praegu.
- Failide levitamine : BOINCi mitu koopiat laaditakse alla kausta C:\USERNAME\AppData\Roaming ja selle alamkaustadesse, levitades selle kohalolekut kogu süsteemis.
- Käivitatava ümbernimetamine : BOINC-i kliendi käivitatavad failid nimetatakse ümber tavalisteks süsteemiprotsessinimedeks, nagu „.exe”, „gupdate.exe”, „SecurityHealthService.exe” ja „trustedinstaller.exe”. Selle maskeeringu eesmärk on vältida tuvastamist ja sulanduda seaduslike protsessidega.
- Võltsserveri loomine : teatati võlts-BOINC-serverist, mis sarnaneb legitiimse Rosetta@home serveriga. Kuigi selle nime ei avalikustata turvakaalutlustel, jäljendab see server seaduslikku projekti, et potentsiaalselt petta kasutajaid ja sooritada volitamata toiminguid.
Jaotus ja mõju
Selle pahavara levitamismeetod jääb ebaselgeks, kuna ohvrid arvavad, et see võib olla seotud ühendustega avalike WiFi-võrkudega. Näib, et kampaania on suunatud konkreetselt USA-s asuvatele kasutajatele, mõjutades umbes 7000 Windowsi seadet, nagu teatas võltsprojekti server.
Leevendus- ja eemaldamisnõuanded
Teadlased soovitavad selle pahavara mõju leevendamiseks järgmisi samme.
- Tööülesannete plaanija puhastamine : kontrollige ja eemaldage tegumiplaanis kõik kirjed, mis käivitavad koodi kaustast Rändlus. Need kirjed võivad näida maskeerituna seaduslike protsessidena, nagu Mozilla või Google'i värskendused, või koosneda lihtsalt alakriipsust, millele järgnevad numbrid.
- Failide kustutamine : kustutage kõik soovimatud failid, mis on salvestatud kausta Rändlus ja selle alamkaustadesse. Võimalik, et kasutajad peavad lõpetama protsessid, kasutades tegumihaldurit, et tagada kõigi ebaturvaliste failide ohutu kustutamine.
Neid ettevaatusabinõusid rakendades ning kahtlaste tegevuste ja installatsioonide suhtes valvsad saavad kasutajad aidata kaitsta oma seadmeid ähvardava tarkvara (nt pahavara BOINC) mõjude eest.
