BOINC Malware

Ang pagprotekta sa mga device mula sa mga banta ng malware ay mahalaga para sa pagpapanatili ng parehong seguridad at functionality. Kamakailan, sinamantala ng mga cybercriminal ang BOINC (Berkeley Open Infrastructure for Network Computing), isang lehitimong utility para sa mga distributed computing projects, upang magsagawa ng mga aktibidad na nagbabanta sa mga nahawaang system. Tandaan na ito ay hindi isang kahinaan sa BOINC mismo; sa halip, ilegal na ini-install ng malware ang BOINC upang maisagawa ang mga operasyon nito.

Pag-install at Pagpapatupad

Ang malware ay naglo-load ng BOINC sa mga device ng mga user nang walang pahintulot gamit ang isang third-party na payload. Ang pamamaraang ito ay lumalampas sa mga karaniwang proseso ng pag-install, na tinitiyak na ang BOINC ay palihim na naka-install. Ang mga binary na ginamit ay direktang kinuha mula sa opisyal na BOINC installer 8.0.2, kahit na ang installer mismo ay hindi direktang ginagamit sa proseso ng pag-install.

Mga Pagbabantang Operasyon

Sa pag-install, magsisimula ang malware ng ilang hindi ligtas na aktibidad:

• Paglikha ng Nakatagong Gumagamit ng Windows : May mga hindi kumpirmadong ulat ng isang nakatagong user ng Windows na nilikha, na posibleng mapadali ang higit pang hindi awtorisadong pag-access.
• Pag-install ng Serbisyo : Naka-install ang mapaminsalang software bilang isang serbisyo sa mga nahawaang system, bagama't ang mga partikular na detalye gaya ng pangalan ng serbisyo ay kasalukuyang hindi isiniwalat.
• Pamamahagi ng File : Maraming kopya ng BOINC ang dina-download sa folder na 'C:\USERNAME\AppData\Roaming' at mga subfolder nito, na ikinakalat ang presensya nito sa buong system.
• Executable Renaming : Ang mga BOINC client executable ay pinalitan ng pangalan sa mga karaniwang pangalan ng proseso ng system tulad ng '.exe,' 'gupdate.exe,' 'SecurityHealthService.exe,' at 'trustedinstaller.exe.' Ang disguise na ito ay naglalayong iwasan ang pagtuklas at pagsamahin sa mga lehitimong proseso.
• Paglikha ng Pekeng Server : Isang pekeng BOINC server na kahawig ng lehitimong Rosetta@home server ang naiulat. Bagama't nananatiling hindi isiniwalat ang pangalan nito para sa mga kadahilanang pangseguridad, ginagaya ng server na ito ang isang lehitimong proyekto upang posibleng linlangin ang mga user at magsagawa ng mga hindi awtorisadong aksyon.

Pamamahagi at Epekto

Ang paraan ng pamamahagi ng malware na ito ay nananatiling hindi malinaw, kung saan ang mga biktima ay nag-iisip na maaari itong maiugnay sa mga koneksyon sa mga pampublikong Wi-Fi network. Lumilitaw na ang kampanya ay nagta-target ng mga user partikular sa United States, na nakakaapekto sa humigit-kumulang 7,000 Windows device gaya ng iniulat ng pekeng server ng proyekto.

Payo sa Pagbabawas at Pag-alis

Iminumungkahi ng mga mananaliksik ang mga sumusunod na hakbang upang mabawasan ang epekto ng malware na ito:

• Paglilinis ng Task Scheduler : Suriin at alisin ang anumang mga entry sa Task Scheduler na nagpapatupad ng code mula sa folder na 'Roaming'. Ang mga entry na ito ay maaaring magmukhang nakatago bilang mga lehitimong proseso gaya ng Mozilla o Google updates, o maaaring binubuo lang ng underscore na sinusundan ng mga numero.
• Pagtanggal ng File : Tanggalin ang lahat ng hindi gustong mga file na nakaimbak sa folder na 'Roaming' at mga subfolder nito. Maaaring kailanganin ng mga user na wakasan ang mga proseso gamit ang 'Task Manager' upang matiyak na ang lahat ng hindi ligtas na file ay maaaring ligtas na matanggal.

Sa pamamagitan ng pagsasagawa ng mga pag-iingat na ito at pananatiling mapagbantay laban sa mga kahina-hinalang aktibidad at pag-install, makakatulong ang mga user na protektahan ang kanilang mga device mula sa mga epekto ng nagbabantang software tulad ng BOINC malware.