БОИНЦ Малваре

Заштита уређаја од претњи малвера је кључна за одржавање безбедности и функционалности. Недавно су сајбер криминалци искористили БОИНЦ (Беркелеи Опен Инфраструцтуре фор Нетворк Цомпутинг), легитимни услужни програм за пројекте дистрибуираног рачунарства, да изврше претеће активности на зараженим системима. Имајте на уму да ово није рањивост у самом БОИНЦ-у; уместо тога, злонамерни софтвер нелегално инсталира БОИНЦ да би обављао своје операције.

Инсталација и извођење

Злонамерни софтвер учитава БОИНЦ на уређаје корисника без пристанка користећи терет треће стране. Овај метод заобилази типичне процесе инсталације, осигуравајући да се БОИНЦ инсталира потајно. Коришћене бинарне датотеке су преузете директно из званичног БОИНЦ инсталатера 8.0.2, иако сам инсталатер није директно ангажован у процесу инсталације.

Пријетеће операције

Након инсталације, малвер покреће неколико небезбедних активности:

• Креирање скривеног корисника Виндовс-а : Постоје непотврђени извештаји о креирању скривеног корисника Виндовс-а, што би потенцијално могло да олакша даљи неовлашћени приступ.
• Инсталација услуге : Штетни софтвер се инсталира као услуга на зараженим системима, иако специфични детаљи као што је назив услуге тренутно нису откривени.
• Дистрибуција датотека : Више копија БОИНЦ-а се преузима у фасциклу 'Ц:\УСЕРНАМЕ\АппДата\Роаминг' и њене поддиректорије, ширећи његово присуство широм система.
• Преименовање извршне датотеке : БОИНЦ клијентске извршне датотеке се преименују у уобичајена имена системских процеса као што су „.еке“, „гупдате.еке“, „СецуритиХеалтхСервице.еке“ и „трустединсталлер.еке“. Ова маска има за циљ да избегне откривање и стопи се са легитимним процесима.
• Креирање лажног сервера : Пријављен је лажни БОИНЦ сервер који личи на легитимни Росетта@хоме сервер. Иако његово име остаје неоткривено из безбедносних разлога, овај сервер опонаша легитиман пројекат да потенцијално обмане кориснике и изврши неовлашћене радње.

Дистрибуција и утицај

Метод дистрибуције овог малвера остаје нејасан, а жртве спекулишу да би могао бити повезан са конекцијама на јавне Ви-Фи мреже. Чини се да је кампања циљана на кориснике посебно у Сједињеним Државама, погађајући приближно 7.000 Виндовс уређаја како је пријавио лажни сервер пројекта.

Савети за ублажавање и уклањање

Истраживачи предлажу следеће кораке за ублажавање утицаја овог малвера:

• Чишћење планера задатака : Проверите и уклоните све уносе у Планеру задатака који извршавају код из фасцикле „Роаминг“. Ови уноси могу изгледати прикривени као легитимни процеси као што су ажурирања Мозилла-е или Гоогле-а, или се могу једноставно састојати од доње црте праћене бројевима.
• Брисање датотека : Избришите све нежељене датотеке ускладиштене у фасцикли „Роаминг“ и њеним потфасциклима. Корисници ће можда морати да прекину процесе помоћу „Управљача задацима“ како би се осигурало да све небезбедне датотеке могу бити безбедно избрисане.

Предузимајући ове мере предострожности и држећи се на опрезу против сумњивих активности и инсталација, корисници могу да помогну у заштити својих уређаја од утицаја претећег софтвера као што је БОИНЦ малвер.