近日有,有科學研究工作人員發覺其計算機主板BIOS中內置瞭這款由Absolute企業開發設計的防盜追蹤手機軟件Computrace,在電子計算機起動後,電腦操作系統會靜默安裝該軟件並向海外傳送不明統計數據。該軟件還可從電子計算機中遠程控制獲得客戶文檔,監控器客戶個人行為及其在未受權狀況下下載最新版不明程序。
研究人員發現該軟件預置在多款型號的計算機BIOS芯片中,Computrace軟件提供可用於遠程控制的網絡協議,無任何加密措施或認證就可以被遠程服務器控制,該功能隨開機啟動,常駐用戶計算機,有較大的安全風險。
目前包括聯想、戴爾、蘋果、微軟、惠普、富士、東芝、松下、三星、華碩、宏基等廠商部分便攜式計算機、臺式機、工作站均受影響。
解決方法:
建議用戶及時進行自查,並根據自身業務要求等進行合理處置,以下為參考建議。
排查方法:
用戶進入BIOS Security菜單中查找是否存在“Anti-Theft”選項,若存在,則進入後可發現存在Computrace軟件。
解決建議:
1、打開註冊表,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager中將BootExecute鍵值備份後刪除,阻止該程序繼續自動啟動。
2、刪除System32目錄下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,並在任務管理器中結束相關進程。
3、在System32目錄下分別新建以上四個文件,文件內容為空,並在每個文件的安全屬性中將所有用戶/組設置為拒絕“完全控制”。
除此之外,用戶還可以通過修改host文件,拒絕訪問部分域名。在C:Windows\System32\drivers\etc\hosts中加入以下信息並保存:
127.0.0.1 search.namequery.com
127.0.0.1 search.namequery.com
127.0.0.1 search2.namequery.com
127.0.0.1 search64.namequery.com
127.0.0.1 search.us.namequery.com
127.0.0.1 bh.namequery.com
127.0.0.1 namequery.nettrace.co.za
127.0.0.1 m229.absolute.com
同時在防火墻中設置阻止rpcnet.exe、rpcnetp.exe訪問網絡。
如果未發現rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll這四個文件,那麼說明你的電腦是安全後,不存在風險。