BOINC Malware

Zaštita uređaja od prijetnji zlonamjernim softverom ključna je za održavanje sigurnosti i funkcionalnosti. Nedavno su kibernetički kriminalci iskoristili BOINC (Berkeley Open Infrastructure for Network Computing), legitiman uslužni program za distribuirane računalne projekte, za izvršavanje prijetećih aktivnosti na zaraženim sustavima. Imajte na umu da ovo nije ranjivost u samom BOINC-u; umjesto toga, zlonamjerni softver ilegalno instalira BOINC za izvođenje svojih operacija.

Montaža i izvedba

Zlonamjerni softver učitava BOINC na uređaje korisnika bez pristanka koristeći korisni teret treće strane. Ova metoda zaobilazi tipične procese instalacije, osiguravajući da se BOINC instalira potajno. Korištene binarne datoteke preuzete su izravno iz službenog BOINC instalacijskog programa 8.0.2, iako sam instalacijski program nije izravno uključen u proces instalacije.

Prijeteće operacije

Nakon instalacije, zlonamjerni softver pokreće nekoliko nesigurnih aktivnosti:

• Stvaranje skrivenog Windows korisnika : Postoje nepotvrđena izvješća o stvaranju skrivenog Windows korisnika, što bi potencijalno moglo olakšati daljnji neovlašteni pristup.
• Instalacija usluge : Štetni softver se instalira kao usluga na zaraženim sustavima, iako su konkretni detalji kao što je naziv usluge trenutno nepoznati.
• Distribucija datoteka : višestruke kopije BOINC-a preuzimaju se u mapu 'C:\USERNAME\AppData\Roaming' i njezine podmape, šireći svoju prisutnost po cijelom sustavu.
• Preimenovanje izvršnih datoteka : Izvršne datoteke BOINC klijenta preimenovane su u uobičajene nazive procesa sustava kao što su '.exe,' 'gupdate.exe,' 'SecurityHealthService.exe,' i 'trustedinstaller.exe.' Ova maska ima za cilj izbjeći otkrivanje i uklopiti se u legitimne procese.
• Stvaranje lažnog poslužitelja : Prijavljen je lažni BOINC poslužitelj koji podsjeća na legitimni poslužitelj Rosetta@home. Iako njegovo ime ostaje neotkriveno iz sigurnosnih razloga, ovaj poslužitelj oponaša legitiman projekt kako bi potencijalno prevario korisnike i izvršio neovlaštene radnje.

Distribucija i utjecaj

Metoda distribucije ovog zlonamjernog softvera ostaje nejasna, a žrtve nagađaju da bi mogao biti povezan s vezama na javne Wi-Fi mreže. Čini se da kampanja cilja korisnike posebno u Sjedinjenim Državama, utječući na približno 7000 Windows uređaja prema izvješću poslužitelja lažnog projekta.

Savjeti za ublažavanje i uklanjanje

Istraživači predlažu sljedeće korake za ublažavanje utjecaja ovog zlonamjernog softvera:

• Čišćenje planera zadataka : Provjerite i uklonite sve unose u planeru zadataka koji izvršavaju kod iz mape 'Roaming'. Ti se unosi mogu činiti prerušeni u legitimne procese kao što su Mozilla ili Google ažuriranja ili se mogu jednostavno sastojati od podvlake iza koje slijede brojevi.
• Brisanje datoteka : Izbrišite sve neželjene datoteke pohranjene u mapi 'Roaming' i njezinim podmapama. Korisnici će možda morati prekinuti procese pomoću 'Upravitelja zadataka' kako bi osigurali da se sve nesigurne datoteke mogu sigurno izbrisati.

Poduzimanjem ovih mjera opreza i zadržavanjem opreza protiv sumnjivih aktivnosti i instalacija, korisnici mogu zaštititi svoje uređaje od utjecaja prijetećeg softvera kao što je zlonamjerni softver BOINC.