BOINC kenkėjiška programa

Įrenginių apsauga nuo kenkėjiškų programų grėsmių yra labai svarbi norint išlaikyti saugumą ir funkcionalumą. Neseniai kibernetiniai nusikaltėliai išnaudojo BOINC (Berkeley Open Infrastructure for Network Computing), teisėtą paskirstytų skaičiavimo projektų įrankį, kad galėtų vykdyti grėsmingą veiklą užkrėstose sistemose. Atminkite, kad tai nėra pačios BOINC pažeidžiamumas; Vietoj to, kenkėjiška programa nelegaliai įdiegia BOINC, kad galėtų atlikti savo veiklą.

Montavimas ir vykdymas

Kenkėjiška programa įkelia BOINC į naudotojų įrenginius be sutikimo, naudodama trečiosios šalies naudingą apkrovą. Šis metodas apeina įprastus diegimo procesus ir užtikrina, kad BOINC būtų įdiegtas slaptai. Naudojami dvejetainiai failai yra paimti tiesiai iš oficialaus BOINC diegimo programos 8.0.2, nors pati diegimo programa nėra tiesiogiai naudojama diegimo procese.

Grėsmingos operacijos

Įdiegusi kenkėjiška programa pradeda keletą nesaugių veiksmų:

• Paslėpto „Windows“ vartotojo kūrimas : yra nepatvirtintų pranešimų apie sukurtą paslėptą „Windows“ vartotoją, kuris gali palengvinti tolesnę neteisėtą prieigą.
• Paslaugos diegimas : kenksminga programinė įranga įdiegiama kaip paslauga užkrėstose sistemose, nors konkreti informacija, pvz., paslaugos pavadinimas, šiuo metu neatskleidžiama.
• Failų paskirstymas : kelios BOINC kopijos atsisiunčiamos į aplanką „C:\USERNAME\AppData\Roaming“ ir jo poaplankius, todėl jo buvimas išplatinamas visoje sistemoje.
• Vykdomasis pervardijimas : BOINC kliento vykdomieji failai pervardyti į bendrus sistemos procesų pavadinimus, pvz., „.exe“, „gupdate.exe“, „SecurityHealthService.exe“ ir „trustedinstaller.exe“. Šiuo maskavimu siekiama išvengti aptikimo ir susilieti su teisėtais procesais.
• Netikro serverio sukūrimas : buvo pranešta apie netikrą BOINC serverį, panašų į teisėtą Rosetta@home serverį. Nors jo pavadinimas saugumo sumetimais neatskleistas, šis serveris imituoja teisėtą projektą, kad būtų galima apgauti vartotojus ir atlikti neleistinus veiksmus.

Paskirstymas ir poveikis

Šios kenkėjiškos programos platinimo metodas lieka neaiškus, o aukos spėja, kad ji gali būti susieta su jungtimis prie viešųjų „Wi-Fi“ tinklų. Atrodo, kad kampanija skirta būtent JAV naudotojams ir paveikiama maždaug 7 000 „Windows“ įrenginių, kaip pranešė netikras projekto serveris.

Sušvelninimo ir pašalinimo patarimai

Tyrėjai siūlo šiuos veiksmus, kad sumažintų šios kenkėjiškos programos poveikį:

• Užduočių planuoklio išvalymas : patikrinkite ir pašalinkite visus užduočių planuoklio įrašus, kurie vykdo kodą iš aplanko „Tarptinklinis ryšys“. Šie įrašai gali atrodyti užmaskuoti kaip teisėti procesai, pvz., „Mozilla“ ar „Google“ naujiniai, arba juos gali sudaryti tiesiog apatinis brūkšnys ir skaičiai.
• Failų ištrynimas : ištrinkite visus nepageidaujamus failus, saugomus aplanke „Tarptinklinis ryšys“ ir jo poaplankiuose. Vartotojams gali tekti nutraukti procesus naudojant „Užduočių tvarkytuvę“, kad būtų galima saugiai ištrinti visus nesaugius failus.

Imdamiesi šių atsargumo priemonių ir budėdami nuo įtartinos veiklos bei diegimo, vartotojai gali padėti apsaugoti savo įrenginius nuo grėsmingos programinės įrangos, pvz., BOINC kenkėjiškos programos, poveikio.