首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【风险预警】Absolute公司防盗追踪软件安全风险

【风险预警】Absolute公司防盗追踪软件安全风险

作者头像
绿盟科技安全情报
发布2019-10-24 12:05:56
7630
发布2019-10-24 12:05:56
举报
1

综述

近日,有研究人员发现其计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace,在计算机启动后,操作系统会静默安装该软件并向境外传输不明数据。该软件还可从计算机中远程获取用户文件,监控用户行为以及在未授权情况下下载安装不明程序。

该软件预置在多款型号的计算机BIOS芯片中,Computrace软件提供可用于远程控制的网络协议,无任何加密措施或认证就可以被远程服务器控制,该功能随开机启动,常驻用户计算机,有较大的安全风险。

2

影响情况

目前包括联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站均受影响。

3

解决方案

建议用户及时进行自查,并根据自身业务要求等进行合理处置,以下为参考建议。

排查方法

用户进入BIOS Security菜单中查找是否存在“Anti-Theft”选项,若存在,则进入后可发现存在Computrace软件。

处置建议

  1. 打开注册表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中将BootExecute键值备份后删除,阻止该程序继续自动启动。
  2. 删除System32目录下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,并在任务管理器中结束相关进程。
  3. 在System32目录下分别新建以上四个文件,文件内容为空,并在每个文件的安全属性中将所有用户/组设置为拒绝“完全控制”。

除此之外,用户还可以通过修改host文件,拒绝访问部分域名。在C:\Windows\System32\drivers\etc\hosts中加入以下信息并保存:

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

同时在防火墙中设置阻止rpcnet.exe、rpcnetp.exe访问网络。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-05-31,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技CERT 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档