BOINC マルウェア
デバイスをマルウェアの脅威から保護することは、セキュリティと機能性の両方を維持するために不可欠です。最近、サイバー犯罪者は、分散コンピューティング プロジェクト用の合法的なユーティリティである BOINC (Berkeley Open Infrastructure for Network Computing) を悪用して、感染したシステムで脅威となる活動を実行しています。これは BOINC 自体の脆弱性ではなく、マルウェアが不正に BOINC をインストールして操作を実行することに注意してください。
目次
インストールと実行
このマルウェアは、サードパーティのペイロードを使用して、ユーザーの同意なしに BOINC をユーザーのデバイスにロードします。この方法は、一般的なインストール プロセスをバイパスし、BOINC が密かにインストールされることを保証します。使用されるバイナリは、公式の BOINC インストーラー 8.0.2 から直接取得されますが、インストーラー自体はインストール プロセスで直接使用されることはありません。
脅迫的な作戦
インストールされると、マルウェアはいくつかの危険なアクティビティを開始します。
- 隠し Windows ユーザーの作成: 隠し Windows ユーザーが作成されたという未確認の報告があり、これによりさらなる不正アクセスが容易になる可能性があります。
- サービスのインストール: 有害なソフトウェアは感染したシステムにサービスとしてインストールされますが、サービス名などの具体的な詳細は現在のところ明らかにされていません。
- ファイルの配布: BOINC の複数のコピーが 'C:\USERNAME\AppData\Roaming' フォルダーとそのサブフォルダーにダウンロードされ、システム全体に広がります。
- 実行可能ファイルの名前変更: BOINC クライアントの実行可能ファイルは、「.exe」、「gupdate.exe」、「SecurityHealthService.exe」、「trustedinstaller.exe」などの一般的なシステム プロセス名に変更されます。この偽装は、検出を回避し、正当なプロセスに溶け込むことを目的としています。
- 偽サーバーの作成: 正規の Rosetta@home サーバーに似た偽の BOINC サーバーが報告されています。セキュリティ上の理由からサーバー名は非公開ですが、このサーバーは正規のプロジェクトを模倣してユーザーを騙し、不正なアクションを実行する可能性があります。
配布と影響
このマルウェアの配布方法は不明ですが、被害者は公共の Wi-Fi ネットワークへの接続に関連しているのではないかと推測しています。このキャンペーンは特に米国のユーザーをターゲットにしているようで、偽のプロジェクト サーバーが報告しているように、約 7,000 台の Windows デバイスに影響を与えています。
緩和と除去に関するアドバイス
研究者は、このマルウェアの影響を軽減するために次の手順を提案しています。
- タスク スケジューラのクリーンアップ: タスク スケジューラで「Roaming」フォルダからコードを実行するエントリをすべてチェックして削除します。これらのエントリは、Mozilla や Google の更新などの正当なプロセスを装って表示される場合や、単にアンダースコアと数字で構成されている場合があります。
- ファイルの削除: 「Roaming」フォルダとそのサブフォルダに保存されている不要なファイルをすべて削除します。すべての危険なファイルを安全に削除するには、ユーザーは「タスク マネージャー」を使用してプロセスを終了する必要がある場合があります。
これらの予防措置を講じ、疑わしいアクティビティやインストールに対して警戒を怠らないことで、ユーザーは BOINC マルウェアのような脅威となるソフトウェアの影響からデバイスを保護することができます。