BOINC-Malware
Der Schutz von Geräten vor Malware-Bedrohungen ist entscheidend für die Aufrechterhaltung von Sicherheit und Funktionalität. In letzter Zeit haben Cyberkriminelle BOINC (Berkeley Open Infrastructure for Network Computing), ein legitimes Dienstprogramm für verteilte Computerprojekte, ausgenutzt, um bedrohliche Aktivitäten auf infizierten Systemen auszuführen. Beachten Sie, dass dies keine Schwachstelle in BOINC selbst ist; stattdessen installiert die Malware BOINC illegal, um ihre Operationen auszuführen.
Inhaltsverzeichnis
Installation und Ausführung
Die Malware lädt BOINC ohne Zustimmung des Benutzers mithilfe einer Drittanbieter-Payload auf das Gerät. Diese Methode umgeht typische Installationsprozesse und stellt sicher, dass BOINC heimlich installiert wird. Die verwendeten Binärdateien stammen direkt aus dem offiziellen BOINC-Installationsprogramm 8.0.2, obwohl das Installationsprogramm selbst nicht direkt im Installationsprozess eingesetzt wird.
Bedrohliche Operationen
Nach der Installation leitet die Malware mehrere unsichere Aktivitäten ein:
- Erstellung eines versteckten Windows-Benutzers : Es gibt unbestätigte Berichte über die Erstellung eines versteckten Windows-Benutzers, der möglicherweise weiteren unbefugten Zugriff ermöglichen könnte.
- Dienstinstallation : Schädliche Software wird als Dienst auf den infizierten Systemen installiert, wobei konkrete Details wie der Dienstname derzeit nicht bekannt gegeben werden.
- Dateiverteilung : Mehrere Kopien von BOINC werden in den Ordner „C:\USERNAME\AppData\Roaming“ und seine Unterordner heruntergeladen, wodurch die Präsenz im gesamten System verbreitet wird.
- Umbenennung ausführbarer Dateien : Ausführbare Dateien von BOINC-Clients werden in gängige Systemprozessnamen wie „.exe“, „gupdate.exe“, „SecurityHealthService.exe“ und „trustedinstaller.exe“ umbenannt. Diese Tarnung zielt darauf ab, einer Erkennung zu entgehen und sich in legitime Prozesse einzufügen.
- Erstellung eines gefälschten Servers : Es wurde ein gefälschter BOINC-Server gemeldet, der dem legitimen Rosetta@home-Server ähnelt. Obwohl sein Name aus Sicherheitsgründen nicht bekannt gegeben wird, ahmt dieser Server ein legitimes Projekt nach, um Benutzer möglicherweise zu täuschen und nicht autorisierte Aktionen auszuführen.
Verbreitung und Wirkung
Die Verbreitungsmethode dieser Malware bleibt unklar. Die Opfer spekulieren, dass sie mit Verbindungen zu öffentlichen WLAN-Netzwerken verknüpft sein könnte. Die Kampagne zielt offenbar speziell auf Benutzer in den USA ab und betrifft laut dem gefälschten Projektserver etwa 7.000 Windows-Geräte.
Hinweise zur Schadensbegrenzung und Entfernung
Um die Auswirkungen dieser Malware einzudämmen, schlagen Forscher die folgenden Schritte vor:
- Taskplaner bereinigen : Überprüfen und entfernen Sie alle Einträge im Taskplaner, die Code aus dem Ordner „Roaming“ ausführen. Diese Einträge können als legitime Prozesse wie Mozilla- oder Google-Updates getarnt erscheinen oder einfach aus einem Unterstrich gefolgt von Zahlen bestehen.
- Dateilöschung : Löschen Sie alle unerwünschten Dateien, die im Ordner „Roaming“ und seinen Unterordnern gespeichert sind. Benutzer müssen möglicherweise Prozesse mithilfe des „Task-Managers“ beenden, um sicherzustellen, dass alle unsicheren Dateien sicher gelöscht werden können.
Indem Benutzer diese Vorsichtsmaßnahmen ergreifen und gegenüber verdächtigen Aktivitäten und Installationen wachsam bleiben, können sie ihre Geräte vor den Auswirkungen bedrohlicher Software wie der BOINC-Malware schützen.
