BOINC 恶意软件

通过Mezo在 Malware

翻译为：

保护设备免受恶意软件威胁对于维护安全性和功能性至关重要。最近，网络犯罪分子利用 BOINC（伯克利网络计算开放基础设施）在受感染的系统上执行威胁活动，这是一个合法的分布式计算项目实用程序。请注意，这并不是 BOINC 本身的漏洞；相反，恶意软件非法安装 BOINC 来执行其操作。

该恶意软件使用第三方有效负载在未经用户同意的情况下将 BOINC 加载到用户设备上。此方法绕过了典型的安装过程，确保 BOINC 被秘密安装。所使用的二进制文件直接取自官方 BOINC 安装程序 8.0.2，但安装程序本身并未直接用于安装过程。

安装后，恶意软件会启动多项不安全的活动：

创建隐藏的 Windows 用户：有未经证实的报告称正在创建隐藏的 Windows 用户，这可能会促进进一步的未经授权的访问。
服务安装：有害软件作为服务安装在受感染的系统上，尽管服务名称等具体细节目前尚未公开。
文件分发：BOINC 的多个副本被下载到“C:\USERNAME\AppData\Roaming”文件夹及其子文件夹中，并将其存在传播到整个系统。
可执行文件重命名：BOINC 客户端可执行文件被重命名为常见的系统进程名称，例如“.exe”、“gupdate.exe”、“SecurityHealthService.exe”和“trustedinstaller.exe”。这种伪装旨在逃避检测并融入合法进程。
创建虚假服务器：据报道，出现了一个与合法 Rosetta@home 服务器相似的虚假 BOINC 服务器。尽管出于安全原因，该服务器的名称未公开，但它模仿合法项目，可能欺骗用户并执行未经授权的操作。

该恶意软件的传播方式尚不清楚，受害者猜测它可能与公共 Wi-Fi 网络的连接有关。该活动似乎专门针对美国用户，据假冒项目服务器报告，大约有 7,000 台 Windows 设备受到影响。

研究人员建议采取以下步骤来减轻该恶意软件的影响：

任务计划程序清理：检查并删除任务计划程序中执行“漫游”文件夹中代码的所有条目。这些条目可能伪装成合法进程（例如 Mozilla 或 Google 更新），或者可能只是由下划线和数字组成。
文件删除：删除“漫游”文件夹及其子文件夹中存储的所有不需要的文件。用户可能需要使用“任务管理器”终止进程，以确保可以安全删除所有不安全的文件。

搜索