Absolute防盜追蹤軟件Computrace安全風險安全通告

發布時間 2019-05-30

風險概述



近日,有技術愛好者反映其計算機主板BIOS中預置了一款由Absolute公司開發的防盜追蹤軟件Computrace,計算機啟動后,操作系統會隱蔽安裝該軟件,經常向境外傳輸不明數據;該軟件可遠程獲取計算機中用戶文件、控制用戶系統、監控用戶行為,甚至可在未經授權的情況下自動下載安裝未知功能的程序,在目前復雜緊張的國際環境下,此類事件具有極高的安全隱患。部分監管機構已經正式發出通告要求快速全面徹查此類問題。


經專家分析發現,Computrace軟件預置固化在多款型號計算機BIOS芯片中,軟件所使用的網絡協議能夠提供基礎的遠程代碼執行功能,不需要遠程服務器使用任何加密措施或認證,且該遠程控制功能隨開機啟動,常駐于用戶電腦,安全風險較大。


可能影響范圍包括:(目前只確認了部分機型存在該問題,未全部驗證)聯想、戴爾、蘋果、微軟、惠普、富士、東芝、松下、三星、華碩、宏基等廠商部分便攜式計算機、臺式機、工作站。


請及時要求有關單位對使用的計算機進行排查,發現預置Absolute公司軟件的,請根據業務重要性等妥善處置。



排查與處置方法



一、排查方法


聯想品牌計算機,進入BIOS“Security”菜單,查找是否有“Anti-Theft”子項,如下圖所示。
 

如有“Anti-Theft”子項,進入后可發現Absolute的防盜追蹤軟件Computrace,即說明存在該軟件。



其他品牌請在BIOS菜單中逐一篩查。


二、處置方法


方法1:更換主板或升級BIOS


升級方法請聯系計算機生產商咨詢。


方法2:禁止該軟件運行


第一步:打開注冊表編輯器,請定位到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
將右邊的 BootExecute 鍵值(系統默認為autocheck autochk *)備份后刪除掉,阻止該程序自動再啟動后續進程。

 


第二步:在任務管理器中結束相關進程,刪除System32目錄下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,此時切勿重新啟動Windows。


第三步:在System32目錄下分別新建以上四個文件,文件內容為空,為每個文件執行如下操作:右鍵單擊,打開屬性頁,切換到“安全”選項卡,為列出的每個用戶或組(包括SYSTEM)設置為拒絕“完全控制”。


方法3:禁止該軟件訪問網絡


修改host文件,將相關域名設置為禁止訪問:記事本打開C:\Windows\System32\drivers\etc\hosts文件,末行輸入以下信息后保存。


127.0.0.1 search.namequery.com
127.0.0.1 search.namequery.com
127.0.0.1 search2.namequery.com
127.0.0.1 search64.namequery.com
127.0.0.1 search.us.namequery.com
127.0.0.1 bh.namequery.com
127.0.0.1 namequery.nettrace.co.za
127.0.0.1 m229.absolute.com
并在防火墻軟件中設置將rpcnet.exe、rpcnetp.exe 禁止訪問網絡。