BOINC ļaunprātīga programmatūra

Ierīču aizsardzība pret ļaunprātīgas programmatūras draudiem ir ļoti svarīga gan drošības, gan funkcionalitātes uzturēšanai. Nesen kibernoziedznieki ir izmantojuši BOINC (Berkeley Open Infrastructure for Network Computing), likumīgu utilītu izplatītiem skaitļošanas projektiem, lai veiktu apdraudošas darbības inficētajās sistēmās. Ņemiet vērā, ka šī nav pašas BOINC ievainojamība; tā vietā ļaunprogrammatūra savu darbību veikšanai nelegāli instalē BOINC.

Uzstādīšana un izpilde

Ļaunprātīga programmatūra ielādē BOINC lietotāju ierīcēs bez piekrišanas, izmantojot trešās puses lietderīgo slodzi. Šī metode apiet tipiskus instalēšanas procesus, nodrošinot, ka BOINC tiek instalēts slepeni. Izmantotie binārie faili tiek ņemti tieši no oficiālā BOINC instalētāja 8.0.2, lai gan pats instalētājs netiek tieši izmantots instalēšanas procesā.

Draudošas operācijas

Pēc instalēšanas ļaunprogrammatūra sāk vairākas nedrošas darbības:

• Slēpta Windows lietotāja izveide : ir neapstiprināti ziņojumi par slēpta Windows lietotāja izveidi, kas varētu veicināt turpmāku nesankcionētu piekļuvi.
• Pakalpojuma instalēšana : kaitīga programmatūra tiek instalēta kā pakalpojums inficētajās sistēmās, lai gan konkrēta informācija, piemēram, pakalpojuma nosaukums, pašlaik netiek izpausta.
• Failu izplatīšana : vairākas BOINC kopijas tiek lejupielādētas mapē C:\USERNAME\AppData\Roaming un tās apakšmapēs, izplatot tā klātbūtni visā sistēmā.
• Izpildāmā pārdēvēšana : BOINC klienta izpildāmie faili tiek pārdēvēti par vispārpieņemtiem sistēmas procesu nosaukumiem, piemēram, “.exe”, “gupdate.exe”, “SecurityHealthService.exe” un “trustedinstaller.exe”. Šīs maskēšanās mērķis ir izvairīties no atklāšanas un saplūst ar likumīgiem procesiem.
• Viltus servera izveide : ir ziņots par viltotu BOINC serveri, kas līdzinās likumīgajam Rosetta@home serverim. Lai gan tā nosaukums drošības apsvērumu dēļ netiek izpausts, šis serveris atdarina likumīgu projektu, lai, iespējams, maldinātu lietotājus un veiktu neatļautas darbības.

Izplatīšana un ietekme

Šīs ļaunprogrammatūras izplatīšanas metode joprojām ir neskaidra, jo upuri domā, ka tā varētu būt saistīta ar savienojumiem ar publiskajiem Wi-Fi tīkliem. Šķiet, ka kampaņa ir īpaši paredzēta lietotājiem Amerikas Savienotajās Valstīs, un tā skar aptuveni 7000 Windows ierīču, kā ziņo viltus projekta serveris.

Padomi mazināšanai un noņemšanai

Pētnieki iesaka veikt šādas darbības, lai mazinātu šīs ļaunprātīgās programmatūras ietekmi:

• Uzdevumu plānotāja tīrīšana : pārbaudiet un noņemiet visus ierakstus uzdevumu plānotājā, kas izpilda kodu no mapes Viesabonēšana. Šie ieraksti var šķist slēpti kā likumīgi procesi, piemēram, Mozilla vai Google atjauninājumi, vai arī tie var sastāvēt no pasvītras, kam seko cipari.
• Failu dzēšana : izdzēsiet visus nevēlamos failus, kas saglabāti mapē Viesabonēšana un tās apakšmapēs. Lietotājiem, iespējams, būs jāpārtrauc procesi, izmantojot “Uzdevumu pārvaldnieku”, lai nodrošinātu, ka visus nedrošos failus var droši dzēst.

Veicot šos piesardzības pasākumus un saglabājot modrību pret aizdomīgām darbībām un instalācijām, lietotāji var palīdzēt aizsargāt savas ierīces no apdraudošas programmatūras, piemēram, BOINC ļaunprātīgas programmatūras, ietekmes.