BOINC malvér
Ochrana zariadení pred hrozbami škodlivého softvéru je kľúčová pre zachovanie bezpečnosti aj funkčnosti. Kyberzločinci nedávno využili BOINC (Berkeley Open Infrastructure for Network Computing), legitímny nástroj pre distribuované počítačové projekty, na vykonávanie ohrozujúcich aktivít na infikovaných systémoch. Všimnite si, že toto nie je zraniteľnosť samotného BOINC; namiesto toho malvér nelegálne inštaluje BOINC na vykonávanie svojich operácií.
Obsah
Inštalácia a vykonanie
Malvér načítava BOINC do zariadení používateľov bez súhlasu pomocou užitočného zaťaženia tretej strany. Táto metóda obchádza typické inštalačné procesy a zaisťuje, že BOINC je nainštalovaný tajne. Použité binárne súbory sú prevzaté priamo z oficiálneho inštalačného programu BOINC 8.0.2, hoci samotný inštalátor nie je priamo zapojený do procesu inštalácie.
Ohrozujúce operácie
Po inštalácii iniciuje malvér niekoľko nebezpečných aktivít:
- Vytvorenie skrytého používateľa systému Windows : Existujú nepotvrdené správy o vytvorení skrytého používateľa systému Windows, čo by mohlo potenciálne uľahčiť ďalší neoprávnený prístup.
- Inštalácia služby : Škodlivý softvér je nainštalovaný ako služba na infikovaných systémoch, hoci konkrétne podrobnosti, ako napríklad názov služby, nie sú v súčasnosti zverejnené.
- Distribúcia súborov : Do priečinka 'C:\USERNAME\AppData\Roaming' a jeho podpriečinkov sa stiahne viacero kópií BOINC, čím sa jeho prítomnosť rozšíri do celého systému.
- Premenovanie spustiteľného súboru : Spustiteľné súbory BOINC klienta sú premenované na bežné názvy systémových procesov, ako napríklad „.exe“, „gupdate.exe“, „SecurityHealthService.exe“ a „trustedinstaller.exe“. Cieľom tohto prestrojenia je vyhnúť sa odhaleniu a splynúť s legitímnymi procesmi.
- Vytvorenie falošného servera : Bol nahlásený falošný server BOINC pripomínajúci legitímny server Rosetta@home. Hoci jeho názov zostáva z bezpečnostných dôvodov nezverejnený, tento server napodobňuje legitímny projekt s cieľom potenciálne oklamať používateľov a vykonávať neoprávnené akcie.
Distribúcia a vplyv
Spôsob distribúcie tohto malvéru zostáva nejasný, pričom obete špekulujú, že by mohol byť spojený s pripojením k verejným sieťam Wi-Fi. Zdá sa, že kampaň je zacielená na používateľov konkrétne v Spojených štátoch a ovplyvňuje približne 7 000 zariadení so systémom Windows, ako uvádza falošný projektový server.
Poradenstvo pri zmierňovaní a odstraňovaní
Výskumníci navrhujú nasledujúce kroky na zmiernenie vplyvu tohto malvéru:
- Čistenie plánovača úloh : Skontrolujte a odstráňte všetky položky v Plánovači úloh, ktoré spúšťajú kód z priečinka „Roaming“. Tieto záznamy sa môžu zdať zamaskované ako legitímne procesy, ako sú aktualizácie Mozilly alebo Google, alebo môžu jednoducho pozostávať z podčiarkovníka, za ktorým nasledujú čísla.
- Vymazanie súboru : Vymaže všetky nechcené súbory uložené v priečinku „Roaming“ a jeho podpriečinkoch. Používatelia možno budú musieť ukončiť procesy pomocou „Správcu úloh“, aby sa zabezpečilo bezpečné vymazanie všetkých nebezpečných súborov.
Prijatím týchto opatrení a ostražitosťou voči podozrivým aktivitám a inštaláciám môžu používatelia pomôcť chrániť svoje zariadenia pred vplyvmi hroziaceho softvéru, akým je malvér BOINC.
