Atentie la proprietarii de laptop-uri noi (și toți ceilalți prea) - krokodilskie lytdybry

Să vedem ce rootkit și ce abilitățile sale. Aici sunt extrase din raportul Ortega și Sacco (traducere prescurtate):


Atacurile asupra antifurt BIOS-tehnologie / Alfredo Ortega, Anibal Sacco

introducere
Acesta este un raport privind studiul nostru, de protecție împotriva utilizării neautorizate a computerului încorporat în PC-ul BIOS. Am analizat programul Computrace BIOS și vulnerabilități care vă permit să preia controlul asupra relației cu programul de agent documentat. De asemenea, vom descrie pe scurt metoda experimentală a modului de a reveni la setările implicite din fabrică a agentului din cauza activării sale / dezactivare. Noi credem că astfel de capabilități de gestionare a agentului îl caracterizează ca cel mai mare pericol BIOS-rootkit, care ocolește toate limitările hardware sau software, și depășește cu mult funcțiile altor programe similare.

Astfel de capacități sunt de obicei de tip rootkit inerente. Singura diferență este că rootkit-urile sunt considerate ca software rău intenționat și furtul de tehnologie de securitate ca legală.

În cursul cercetării, am constatat că lipsa de autentificare puternice în BIOS-agent este o sursă de o serie de vulnerabilități care pot compromite un sistem vulnerabil. Acest lucru va fi discutat în continuare.

Agent Sam, ceea ce este în joc, este încorporată în opțiunea PCI ROM BIOS în cele mai multe laptop-uri și unele sisteme desktop BIOS. implicit ROM opțională este oprit ca un dispozitiv PCI. Odată activat, el face modificări la fișierul pentru Windows direct din BIOS-ul sistemului, instalați nou serviciu și modifică fișierele kernel, și serviciile de sistem, cum ar fi registrul pentru erori și mecanismul de auto-vindecare, inclusiv fișierul Autochk.exe.

agent operațiuni
După ce instalați registrele agent ca un serviciu de sistem Windows autointitulat un „Remote Procedure Call (RPC) Net“. Windows utilizează diferite versiuni ale acestui nume pentru serviciile lor RPC legitime. Astfel, noul serviciu este ușor de confundat cu Windows Services legitime. Serviciul este implementat în fișierele sau rpcnetp.exe rpcnet.exe.

Activarea / dezactivarea Agent
La unele modele de notebook-uri, de exemplu, o serie de Dell Inspirion, agentul poate fi activat sau dezactivat utilizând opțiunile BIOS. Vă vom spune despre modul cum să resetați NVRAM utilizând orificiile din SMBIOS, pentru a restabili configurația agentului la valorile implicite din fabrică. Dar permite orice program să utilizeze această metodă, demonstrând că nu există nici o posibilitate de a activa sau dezactiva Agent pentru totdeauna.

constatări
Am găsit trei probleme majore de protecție împotriva utilizării neautorizate Computrace:

1. Lipsa de autentificare pentru a face modificări configurației agentului care vă permite să controlați computerul din afara gazdă.

2. Lipsa de autentificare în modul de agent ascuns, care vă permite să modificați direct BIOS.

3. Doar o singură versiune a Agentului, am găsit posibilitatea de activare / dezactivare pentru a restabili configurația la setările din fabrică.

Dar există încă lucruri de existența pe care noi nu putem confirma sau infirma în mod clar:

5. Agentul poate fi activat fără știrea utilizatorului.

Fără îndoială, acest agent cu o majusculă, cum este numit Ortega și Sacco. Ce se întâmplă? Proprietarii BIOS-rootkit-urile la nivel de agent sunt în măsură să gestioneze fiecare computer cu BIOS-ul de dezvoltare a acestora. Cum diferă oarecum de la hacker care ți-a trimis o scrisoare în masca de o carte poștală atractiv cu love.exe troian malware? Acesta nu este diferit, iar hackerii sunt la scară internațională. Deși există o diferență, un hacker singuratic care acționează în numele său, iar BIOS-dezvoltatorii hackeri acționează în numele tuturor producătorilor de notebook-uri, pe care le-a permis BIOS-ul, care este, HP, Dell, Lenovo, Toshiba, Gateway, Asus si Panasonic.

Pentru a proteja datele de a fi furate este suficient pentru a le stoca într-un sistem de fișiere criptat. Nici BIOS-rootkit se presupune că protejează împotriva nu este nevoie de furt. Mai mult decât atât, rootkit din Phoenix este absolut inutil pentru presupuse scopurile lor reale, care este, protecția informațiilor de la furt. Pentru a accesa hard disk notebook-ului, ocolind rootkit mount suficient de ea la un alt computer. Adevăratul scop al unui rootkit, care este de fapt realizat, acest acces de la distanță la informații pe computerul curent.

După cum puteți vedea, dacă sunteți infectat:
prezența fișierelor pe sistem:
rpcnet.exe
rpcnetp.exe
rpcnet.dll
rpcnetp.dll

Cum de a elimina:
Instalați orice alt sistem de operare decât Micro $ oft
apel absolută și solicita deconectarea (numai modulele rămân)
Eliminați manual (www.freakyacres.com/remove_computrace_lojack)