BOINC Haittaohjelma

Laitteiden suojaaminen haittaohjelmauhilta on ratkaisevan tärkeää sekä turvallisuuden että toiminnallisuuden ylläpitämiseksi. Viime aikoina kyberrikolliset ovat käyttäneet hyväkseen BOINC:ia (Berkeley Open Infrastructure for Network Computing), joka on laillinen apuohjelma hajautetuille laskentaprojekteille suorittaakseen uhkaavia toimintoja tartunnan saaneissa järjestelmissä. Huomaa, että tämä ei ole itse BOINC:n haavoittuvuus; sen sijaan haittaohjelma asentaa laittomasti BOINC:n suorittaakseen toimintansa.

Asennus ja toteutus

Haittaohjelma lataa BOINCin käyttäjien laitteisiin ilman lupaa kolmannen osapuolen hyötykuorman avulla. Tämä menetelmä ohittaa tyypilliset asennusprosessit ja varmistaa, että BOINC asennetaan piilossa. Käytetyt binaarit on otettu suoraan virallisesta BOINC-asennusohjelmasta 8.0.2, vaikka itse asennusohjelmaa ei käytetä suoraan asennusprosessissa.

Uhkailuoperaatiot

Asennuksen yhteydessä haittaohjelma käynnistää useita vaarallisia toimintoja:

• Piilotetun Windows-käyttäjän luominen : On olemassa vahvistamattomia raportteja piilotetun Windows-käyttäjän luomisesta, mikä saattaa mahdollisesti helpottaa luvatonta käyttöä.
• Palvelun asennus : Haitallisia ohjelmistoja asennetaan palveluna tartunnan saaneisiin järjestelmiin, vaikka erityisiä yksityiskohtia, kuten palvelun nimi, ei tällä hetkellä julkisteta.
• Tiedostojen jakelu : Useita BOINC-kopioita ladataan 'C:\USERNAME\AppData\Roaming'-kansioon ja sen alikansioihin, jolloin sen läsnäolo leviää koko järjestelmään.
• Suoritettavan uudelleennimeäminen : BOINC-asiakasohjelman suoritettavat tiedostot nimetään uudelleen yleisiksi järjestelmäprosessinimille, kuten '.exe', 'gupdate.exe', 'SecurityHealthService.exe' ja 'trustedinstaller.exe'. Tämän naamioinnin tarkoituksena on välttää havaitseminen ja sulautua laillisiin prosesseihin.
• Väärennetyn palvelimen luominen : Laillista Rosetta@home-palvelinta muistuttava väärennetty BOINC-palvelin on raportoitu. Vaikka sen nimeä ei julkisteta turvallisuussyistä, tämä palvelin jäljittelee laillista projektia, jonka tarkoituksena on mahdollisesti pettää käyttäjiä ja suorittaa luvattomia toimia.

Jakelu ja vaikutus

Tämän haittaohjelman levitystapa on edelleen epäselvä, ja uhrit arvelivat, että se voisi olla yhteydessä yhteyksiin julkisiin Wi-Fi-verkkoihin. Väärennetyn projektipalvelimen mukaan kampanja näyttää kohdistuvan käyttäjiin erityisesti Yhdysvalloissa, ja se vaikuttaa noin 7 000 Windows-laitteeseen.

Lieventämis- ja poistoohjeet

Tutkijat ehdottavat seuraavia toimenpiteitä tämän haittaohjelman vaikutuksen lieventämiseksi:

• Task Scheduler Cleanup : Tarkista ja poista kaikki Task Schedulerin merkinnät, jotka suorittavat koodia Roaming-kansiosta. Nämä merkinnät voivat näyttää naamioituneilta laillisilta prosesseilta, kuten Mozilla- tai Google-päivityksiltä, tai ne voivat koostua yksinkertaisesti alaviivasta ja numeroista.
• Tiedoston poistaminen : Poista kaikki Roaming-kansioon ja sen alikansioihin tallennetut ei-toivotut tiedostot. Käyttäjien on ehkä lopetettava prosessit Tehtävienhallinnan avulla varmistaakseen, että kaikki vaaralliset tiedostot voidaan poistaa turvallisesti.

Noudattamalla näitä varotoimia ja pysymällä valppaina epäilyttäviä toimintoja ja asennuksia vastaan, käyttäjät voivat auttaa suojaamaan laitteitaan uhkaavien ohjelmistojen, kuten BOINC-haittaohjelmien, vaikutuksilta.