Złośliwe oprogramowanie BOINC

Ochrona urządzeń przed zagrożeniami ze strony złośliwego oprogramowania ma kluczowe znaczenie dla utrzymania bezpieczeństwa i funkcjonalności. Niedawno cyberprzestępcy wykorzystali BOINC (Berkeley Open Infrastructure for Network Computing), legalne narzędzie do projektów przetwarzania rozproszonego, do wykonywania niebezpiecznych działań w zainfekowanych systemach. Należy pamiętać, że nie jest to luka w samym BOINC; zamiast tego szkodliwe oprogramowanie nielegalnie instaluje BOINC w celu wykonywania swoich operacji.

Instalacja i wykonanie

Szkodnik ładuje BOINC na urządzenia użytkowników bez zgody, korzystając z ładunku strony trzeciej. Ta metoda omija typowe procesy instalacyjne, zapewniając dyskretną instalację BOINC. Wykorzystane pliki binarne pochodzą bezpośrednio z oficjalnego instalatora BOINC 8.0.2, chociaż sam instalator nie jest bezpośrednio zaangażowany w proces instalacji.

Groźne operacje

Po instalacji złośliwe oprogramowanie inicjuje kilka niebezpiecznych działań:

• Tworzenie ukrytego użytkownika systemu Windows : Istnieją niepotwierdzone raporty o tworzeniu ukrytego użytkownika systemu Windows, który może potencjalnie ułatwić dalszy nieautoryzowany dostęp.
• Instalacja usługi : Szkodliwe oprogramowanie jest instalowane w zainfekowanych systemach jako usługa, chociaż szczegółowe informacje, takie jak nazwa usługi, nie są obecnie ujawniane.
• Dystrybucja plików : Wiele kopii programu BOINC jest pobieranych do folderu „C:\NAZWA UŻYTKOWNIKA\AppData\Roaming” i jego podfolderów, rozprzestrzeniając jego obecność w całym systemie.
• Zmiana nazw plików wykonywalnych : Nazwy plików wykonywalnych klienta BOINC są zmieniane na popularne nazwy procesów systemowych, takie jak „.exe”, „gupdate.exe”, „SecurityHealthService.exe” i „trustedinstaller.exe”. Celem tego przebrania jest uniknięcie wykrycia i wmieszanie się w legalne procesy.
• Utworzenie fałszywego serwera : Zgłoszono fałszywy serwer BOINC przypominający legalny serwer Rosetta@home. Chociaż jego nazwa pozostaje nieujawniona ze względów bezpieczeństwa, serwer ten naśladuje legalny projekt, aby potencjalnie oszukać użytkowników i wykonać nieautoryzowane działania.

Dystrybucja i wpływ

Metoda dystrybucji tego szkodliwego oprogramowania pozostaje niejasna, a ofiary spekulują, że może ono być powiązane z połączeniami z publicznymi sieciami Wi-Fi. Wydaje się, że kampania jest skierowana szczególnie do użytkowników w Stanach Zjednoczonych i według fałszywego serwera projektu wpływa na około 7 000 urządzeń z systemem Windows.

Porady dotyczące łagodzenia i usuwania

Badacze sugerują wykonanie następujących kroków w celu złagodzenia wpływu tego złośliwego oprogramowania:

• Oczyszczanie Harmonogramu zadań : Sprawdź i usuń wszystkie wpisy w Harmonogramie zadań, które wykonują kod z folderu „Roaming”. Wpisy te mogą wyglądać na podszywające się pod legalne procesy, takie jak aktualizacje Mozilli lub Google, lub mogą po prostu składać się z podkreślenia i cyfr.
• Usuwanie plików : Usuń wszystkie niechciane pliki zapisane w folderze „Roaming” i jego podfolderach. Użytkownicy mogą być zmuszeni zakończyć procesy za pomocą „Menedżera zadań”, aby mieć pewność, że wszystkie niebezpieczne pliki będą mogły zostać bezpiecznie usunięte.

Stosując te środki ostrożności i zachowując czujność wobec podejrzanych działań i instalacji, użytkownicy mogą pomóc chronić swoje urządzenia przed wpływem groźnego oprogramowania, takiego jak złośliwe oprogramowanie BOINC.