بدافزار BOINC

محافظت از دستگاه ها در برابر تهدیدات بدافزار برای حفظ امنیت و عملکرد بسیار مهم است. اخیراً، مجرمان سایبری از BOINC (زیرساخت باز برکلی برای محاسبات شبکه)، ابزاری قانونی برای پروژه‌های محاسباتی توزیع‌شده، برای اجرای فعالیت‌های تهدیدآمیز بر روی سیستم‌های آلوده سوء استفاده کرده‌اند. توجه داشته باشید که این یک آسیب‌پذیری در خود BOINC نیست. در عوض، بدافزار به طور غیرقانونی BOINC را برای انجام عملیات خود نصب می کند.

نصب و اجرا

این بدافزار BOINC را بدون رضایت با استفاده از بار شخص ثالث روی دستگاه های کاربران بارگیری می کند. این روش فرآیندهای نصب معمولی را دور می زند و اطمینان حاصل می کند که BOINC به طور مخفیانه نصب شده است. باینری های استفاده شده مستقیماً از نصب کننده رسمی BOINC 8.0.2 گرفته شده اند، اگرچه خود نصب کننده مستقیماً در فرآیند نصب استفاده نمی شود.

عملیات تهدید کننده

پس از نصب، بدافزار چندین فعالیت ناامن را آغاز می کند:

• ایجاد کاربر مخفی ویندوز : گزارش های تایید نشده ای از ایجاد یک کاربر مخفی ویندوز وجود دارد که به طور بالقوه می تواند دسترسی غیرمجاز بیشتر را تسهیل کند.
• نصب سرویس : نرم افزارهای مضر به عنوان سرویس بر روی سیستم های آلوده نصب می شود، اگرچه جزئیات خاصی مانند نام سرویس در حال حاضر فاش نشده است.
• توزیع فایل : چندین نسخه از BOINC در پوشه C:\USERNAME\AppData\Roaming و زیرپوشه‌های آن دانلود می‌شود و حضور آن را در سراسر سیستم پخش می‌کند.
• تغییر نام اجرایی : فایل‌های اجرایی کلاینت BOINC به نام‌های رایج فرآیند سیستم مانند «.exe»، «gupdate.exe»، «SecurityHealthService.exe» و «trustedinstaller.exe» تغییر نام داده می‌شوند. هدف این مبدل فرار از تشخیص و آمیختن با فرآیندهای قانونی است.
• ایجاد سرور جعلی : یک سرور جعلی BOINC شبیه سرور قانونی Rosetta@home گزارش شده است. اگرچه نام آن به دلایل امنیتی فاش نشده است، این سرور یک پروژه قانونی را تقلید می کند تا به طور بالقوه کاربران را فریب دهد و اقدامات غیرمجاز را انجام دهد.

توزیع و تاثیر

روش توزیع این بدافزار همچنان نامشخص است و قربانیان حدس می‌زنند که ممکن است به اتصالات به شبکه‌های Wi-Fi عمومی مرتبط باشد. به نظر می رسد این کمپین به طور خاص کاربران ایالات متحده را هدف قرار می دهد و تقریباً 7000 دستگاه ویندوز را تحت تأثیر قرار می دهد که توسط سرور پروژه جعلی گزارش شده است.

توصیه های کاهش و حذف

محققان اقدامات زیر را برای کاهش تأثیر این بدافزار پیشنهاد می کنند:

• Task Scheduler Cleanup : هر ورودی را در Task Scheduler که کد را از پوشه Roaming اجرا می کند، بررسی کرده و حذف کنید. این ورودی‌ها ممکن است به‌عنوان فرآیندهای قانونی مانند به‌روزرسانی‌های Mozilla یا Google پنهان به نظر برسند، یا ممکن است به سادگی شامل یک زیرخط و اعداد باشند.
• حذف فایل : تمام فایل‌های ناخواسته ذخیره شده در پوشه Roaming و زیرپوشه‌های آن را حذف کنید. ممکن است لازم باشد کاربران با استفاده از "Task Manager" فرآیندها را خاتمه دهند تا اطمینان حاصل شود که همه فایل های ناامن می توانند به طور ایمن حذف شوند.

با انجام این اقدامات احتیاطی و هوشیاری در برابر فعالیت ها و نصب های مشکوک، کاربران می توانند به محافظت از دستگاه های خود در برابر تأثیرات نرم افزارهای تهدید کننده مانند بدافزار BOINC کمک کنند.