BOINC Malware

Az eszközök védelme a rosszindulatú programokkal szemben elengedhetetlen mind a biztonság, mind a funkcionalitás fenntartásához. A közelmúltban a kiberbűnözők kihasználták a BOINC-t (Berkeley Open Infrastructure for Network Computing), az elosztott számítástechnikai projektek legitim segédprogramját, hogy fenyegető tevékenységeket hajtsanak végre a fertőzött rendszereken. Vegye figyelembe, hogy ez nem magának a BOINC-nek a sebezhetősége; ehelyett a kártevő illegálisan telepíti a BOINC-t, hogy végrehajtsa műveleteit.

Telepítés és kivitelezés

A rosszindulatú program a BOINC-t beleegyezés nélkül betölti a felhasználók eszközeire, harmadik féltől származó hasznos adat felhasználásával. Ez a módszer megkerüli a tipikus telepítési folyamatokat, és biztosítja, hogy a BOINC titokban kerüljön telepítésre. A használt binárisok közvetlenül a hivatalos BOINC 8.0.2-es telepítőből származnak, bár magát a telepítőt nem használják közvetlenül a telepítési folyamatban.

Fenyegető műveletek

Telepítéskor a kártevő számos nem biztonságos tevékenységet indít el:

• Rejtett Windows-felhasználó létrehozása : Vannak meg nem erősített jelentések egy rejtett Windows-felhasználó létrehozásáról, amely potenciálisan elősegítheti a további jogosulatlan hozzáférést.
• Szolgáltatás telepítése : A fertőzött rendszereken szolgáltatásként telepítenek ártalmas szoftvereket, bár konkrét részleteket, például a szolgáltatás nevét jelenleg nem hozták nyilvánosságra.
• Fájlok terjesztése : A BOINC több példánya letöltődik a 'C:\USERNAME\AppData\Roaming' mappába és annak almappáiba, így jelenléte elterjedt a rendszerben.
• Futtatható átnevezés : A BOINC kliens futtatható fájljai általános rendszerfolyamatnevekre vannak átnevezve, például „.exe”, „gupdate.exe”, „SecurityHealthService.exe” és „trustedinstaller.exe”. Ennek az álcának az a célja, hogy elkerülje az észlelést, és beleolvadjon a legitim folyamatokba.
• Hamis kiszolgáló létrehozása : Hamis BOINC szervert jelentettek, amely hasonlít a legitim Rosetta@home szerverre. Bár a nevét biztonsági okokból nem hozzuk nyilvánosságra, ez a kiszolgáló egy legitim projektet utánoz, amellyel potenciálisan megtévesztheti a felhasználókat és jogosulatlan műveleteket hajthat végre.

Eloszlás és hatás

Ennek a kártevőnek a terjesztési módja továbbra is tisztázatlan, az áldozatok azt feltételezik, hogy nyilvános Wi-Fi hálózatokhoz köthető. Úgy tűnik, hogy a kampány kifejezetten az Egyesült Államokban élő felhasználókat célozza meg, mintegy 7000 Windows-eszközt érintve, amint azt a hamis projektszerver jelentette.

Enyhítési és eltávolítási tanácsok

A kutatók a következő lépéseket javasolják a rosszindulatú program hatásának mérséklésére:

• Feladatütemező tisztítása : Ellenőrizze és távolítsa el a Feladatütemezőben azokat a bejegyzéseket, amelyek kódot hajtanak végre a „Roaming” mappából. Ezek a bejegyzések legitim folyamatoknak, például a Mozilla vagy a Google frissítéseinek álcázva jelenhetnek meg, vagy egyszerűen csak aláhúzásból és számokból állhatnak.
• Fájltörlés : Törölje a „Roaming” mappában és annak almappáiban tárolt összes nem kívánt fájlt. Előfordulhat, hogy a felhasználóknak le kell állítaniuk a folyamatokat a „Feladatkezelő” használatával, hogy az összes nem biztonságos fájl biztonságosan törölhető legyen.

Ezen óvintézkedések megtételével és a gyanús tevékenységekkel és telepítésekkel szembeni éberséggel a felhasználók segíthetnek megvédeni eszközeiket az olyan fenyegető szoftverek hatásaitól, mint a BOINC rosszindulatú program.