Bios-agent de Computrace a provocat suspiciuni în "Kaspersky Lab"

ROM suplimentară are o mică secțiune cu agent de module Computrace sunt adăugate de producător BIOS și cusute la producătorul computerului din fabrică (sau, mai degrabă, producătorul plăcii de bază). Interesant, pentru firmware-ul care conține Computrace, setările corespunzătoare în BIOS Setup poate exista atât și să fie absentă. De exemplu, în ASUS X102BA nu sunt.

În același timp, modulul Computrace permite accesul de la distanță la computer prin intermediul internetului. Producătorii instalați software-ul spyware în BIOS-ul, în unele modele de notebook-uri, fără notificare către client. De exemplu, s-a întâmplat cu cumpărătorii laptop ASUS 1225B, Samsung 900X3C și Samsung NP670Z5E.

Diagrama arată producătorii de calculatoare placa de baza cu agentul activ Computrace. Statisticile colectate din rețeaua KSN.

„Kaspersky Lab“, a studiat comunicare agent de Computrace la un server de la distanță și a găsit un protocol destul de simplu.

„Un protocol detaliat de examinare ne oferă o idee despre ce design este conceput pentru executarea de la distanță a comenzilor de orice fel. Nu avem nici o dovadă că Absolute Computrace a fost folosit ca platformă pentru atacuri, dar vom vedea în mod clar posibilitatea de acest lucru, iar unele fapte deranjante și inexplicabile fac această posibilitate mai realist - experți companie antivirus a scris. - Suntem profund convinși că un astfel de instrument progresiv trebuie să aibă o protecție la fel de progresivă împotriva utilizării neautorizate, inclusiv mecanisme de autentificare sigură și de criptare ".

Activitatea de agent Indicatori de Computrace

1. Unul dintre procesele care se execută:

  • rpcnet.exe
  • rpcnetp.exe
  • 32-bitsvchost.exe, care rulează pe un 64-bitsisteme (lumină indirectă)

2. Unul dintre fișierele exista pe disc:

  • % WINDIR% System32rpcnet.exe
  • % WINDIR% System32rpcnetp.exe
  • % WINDIR% System32wceprv.dll
  • % WINDIR% System32identprv.dll
  • % WINDIR% System32Upgrd.exe
  • % WINDIR% System32autochk.exe.bak (pentru FAT)
  • % WINDIR% System32autochk.exe: Bak (pentru NTFS)

3. Sistemul trimite un DNS-cereri pentru următoarele domenii:

  • search.namequery.com
  • search.us.namequery.com
  • search64.namequery.com
  • bh.namequery.com
  • namequery.nettrace.co.za
  • search2.namequery.com
  • m229.absolute.com sau orice m * .absolute.com

5. Există una dintre următoarele taste în registru:

știri Împărtășește cu prietenii: