BOINC вредоносное ПО

Защита устройств от угроз вредоносного ПО имеет решающее значение для обеспечения безопасности и функциональности. Недавно киберпреступники использовали BOINC (Berkeley Open Infrastructure for Network Computing), законную утилиту для проектов распределенных вычислений, для выполнения угрожающих действий на зараженных системах. Обратите внимание: это не уязвимость самого BOINC; вместо этого вредоносная программа незаконно устанавливает BOINC для выполнения своих операций.

Установка и выполнение

Вредоносное ПО загружает BOINC на устройства пользователей без согласия, используя стороннюю полезную нагрузку. Этот метод обходит типичные процессы установки, обеспечивая скрытую установку BOINC. Используемые двоичные файлы взяты непосредственно из официального установщика BOINC 8.0.2, хотя сам установщик не участвует напрямую в процессе установки.

Угрожающие операции

После установки вредоносная программа инициирует несколько небезопасных действий:

• Создание скрытого пользователя Windows . Имеются неподтвержденные сообщения о создании скрытого пользователя Windows, что потенциально может способствовать дальнейшему несанкционированному доступу.
• Установка службы . Вредоносное программное обеспечение устанавливается в зараженных системах как служба, хотя конкретные детали, такие как имя службы, в настоящее время не разглашаются.
• Распространение файлов : несколько копий BOINC загружаются в папку «C:\USERNAME\AppData\Roaming» и ее подпапки, распространяя свое присутствие по всей системе.
• Переименование исполняемых файлов : исполняемые файлы клиента BOINC переименовываются в общие имена системных процессов, такие как «.exe», «gupdate.exe», «SecurityHealthService.exe» и «trustedinstaller.exe». Эта маскировка направлена на то, чтобы избежать обнаружения и слиться с законными процессами.
• Создание поддельного сервера : Сообщается о поддельном сервере BOINC, напоминающем законный сервер Rosetta@home. Хотя его имя остается нераскрытым по соображениям безопасности, этот сервер имитирует законный проект, который потенциально может обманывать пользователей и выполнять несанкционированные действия.

Распространение и влияние

Метод распространения этого вредоносного ПО остается неясным: жертвы предполагают, что оно может быть связано с подключениями к общедоступным сетям Wi-Fi. Судя по всему, кампания нацелена конкретно на пользователей в Соединенных Штатах и затрагивает около 7000 устройств Windows, как сообщает поддельный сервер проекта.

Советы по смягчению последствий и удалению

Исследователи предлагают следующие шаги для смягчения воздействия этого вредоносного ПО:

• Очистка планировщика заданий : проверьте и удалите все записи в планировщике заданий, которые выполняют код из папки «Роуминг». Эти записи могут выглядеть замаскированными под законные процессы, такие как обновления Mozilla или Google, или могут просто состоять из подчеркивания, за которым следуют цифры.
• Удаление файлов : удалите все ненужные файлы, хранящиеся в папке «Роуминг» и ее подпапках. Пользователям может потребоваться завершить процессы с помощью «Диспетчера задач», чтобы обеспечить безопасное удаление всех небезопасных файлов.

Принимая эти меры предосторожности и сохраняя бдительность в отношении подозрительных действий и установок, пользователи могут помочь защитить свои устройства от воздействия угрожающего программного обеспечения, такого как вредоносное ПО BOINC.