BOINC skadelig programvare

Å beskytte enheter mot trusler mot skadelig programvare er avgjørende for å opprettholde både sikkerhet og funksjonalitet. Nylig har nettkriminelle utnyttet BOINC (Berkeley Open Infrastructure for Network Computing), et legitimt verktøy for distribuerte databehandlingsprosjekter, for å utføre truende aktiviteter på infiserte systemer. Merk at dette ikke er en sårbarhet i selve BOINC; i stedet installerer skadelig programvare ulovlig BOINC for å utføre sine operasjoner.

Installasjon og utførelse

Skadevaren laster BOINC på brukernes enheter uten samtykke ved å bruke en tredjeparts nyttelast. Denne metoden omgår typiske installasjonsprosesser, og sikrer at BOINC installeres i det skjulte. Binærfilene som brukes er hentet direkte fra det offisielle BOINC-installasjonsprogrammet 8.0.2, men selve installasjonsprogrammet er ikke direkte ansatt i installasjonsprosessen.

Truende operasjoner

Ved installasjon starter skadevaren flere usikre aktiviteter:

• Opprettelse av skjult Windows-bruker : Det er ubekreftede rapporter om at en skjult Windows-bruker opprettes, noe som potensielt kan lette ytterligere uautorisert tilgang.
• Tjenesteinstallasjon : Skadelig programvare er installert som en tjeneste på de infiserte systemene, selv om spesifikke detaljer som tjenestenavnet for øyeblikket ikke er avslørt.
• Fildistribusjon : Flere kopier av BOINC lastes ned til mappen 'C:\USERNAME\AppData\Roaming' og dens undermapper, og sprer tilstedeværelsen over hele systemet.
• Endre navn på kjørbar : Kjørbare BOINC-klienter blir omdøpt til vanlige systemprosessnavn som ".exe", "gupdate.exe", "SecurityHealthService.exe" og "trustedinstaller.exe." Denne forkledningen tar sikte på å unngå oppdagelse og blande seg inn i legitime prosesser.
• Opprettelse av falsk server : En falsk BOINC-server som ligner den legitime Rosetta@home-serveren er rapportert. Selv om navnet forblir ukjent av sikkerhetsgrunner, etterligner denne serveren et legitimt prosjekt for potensielt å lure brukere og utføre uautoriserte handlinger.

Distribusjon og påvirkning

Distribusjonsmetoden for denne skadelige programvaren er fortsatt uklar, og ofrene spekulerer i at den kan være knyttet til tilkoblinger til offentlige Wi-Fi-nettverk. Kampanjen ser ut til å målrette mot brukere spesifikt i USA, og påvirker omtrent 7000 Windows-enheter som rapportert av den falske prosjektserveren.

Begrensnings- og fjerningsråd

Forskere foreslår følgende trinn for å redusere virkningen av denne skadelige programvaren:

• Opprydding av oppgaveplanlegger : Sjekk og fjern alle oppføringer i oppgaveplanleggeren som kjører koden fra 'Roaming'-mappen. Disse oppføringene kan fremstå forkledd som legitime prosesser som Mozilla- eller Google-oppdateringer, eller de kan ganske enkelt bestå av et understrek etterfulgt av tall.
• Filsletting : Slett alle uønskede filer som er lagret i 'Roaming'-mappen og dens undermapper. Brukere må kanskje avslutte prosesser ved å bruke 'Oppgavebehandling' for å sikre at alle usikre filer trygt kan slettes.

Ved å ta disse forholdsreglene og være på vakt mot mistenkelige aktiviteter og installasjoner, kan brukere bidra til å beskytte enhetene sine mot virkningene av truende programvare som BOINC-malware.