> 首頁 > 關于優炫 > 公司動態 > 業界新聞 >

業界新聞

Industry News

【風險預警】關于Absolute公司防盜追蹤軟件安全風險的提示

2019-05-31
近日,部分網絡安全友商在其發聲平臺發布了Absolute公司的防盜軟件的風險提示。這是一款預置在計算機主板BIOS中的防盜追蹤軟件Computrace,計算機啟動后,操作系統即隱蔽安裝該軟件,經常向境外傳輸不明數據;該軟件可遠程獲取計算機中用戶文件、控制用戶系統、監控用戶行為,甚至可在未經授權的情況下自動下載安裝未知功能的程序,具有很大的安全隱患。

該軟件預置在多款型號的計算機BIOS芯片中,Computrace軟件提供可用于遠程控制的網絡協議,無任何加密措施或認證就可以被遠程服務器控制,該功能隨開機啟動,常駐用戶計算機,有較大的安全風險。

目前包括聯想、戴爾、蘋果、微軟、惠普、富士、東芝、松下、三星、華碩、宏基等廠商部分便攜式計算機、臺式機、工作站均受影響。(目前只確認了部分機型存在該問題,未全部驗證)

解決方案

優炫軟件安全研究院建議用戶及時進行檢查,發現預置Absolute公司軟件的,請根據業務重要性等妥善處置,以下為參考建議。

一 排查是否

用戶進入BIOS Security菜單中查找是否存在“Anti-Theft”選項,若存在,則進入后可發現存在Computrace軟件。


二 處理方式

方法1:更換主板或升級BIOS

升級方法請聯系計算機生產商咨詢。

方法2:禁止該軟件運行

第一步:打開注冊表編輯器,請定位到:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

將右邊的 BootExecute 鍵值(系統默認為autocheck autochk *)備份后刪除掉,阻止該程序自動再啟動后續進程。

圖片來源于網絡


第二步:刪除System32目錄下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,并在任務管理器中結束相關進程。

第三步:在System32目錄下分別新建以上四個文件,文件內容為空,為每個文件執行如下操作:右鍵單擊,打開屬性頁,切換到“安全”選項卡,為列出的每個用戶或組(包括SYSTEM)設置為拒絕“完全控制”。

方法3:禁止該軟件訪問網絡

修改host文件,將相關域名設置為禁止訪問:記事本打開C:\Windows\System32\drivers\etc\hosts文件,末行輸入以下信息后保存。

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

并在防火墻軟件中設置將rpcnet.exe、rpcnetp.exe 禁止訪問網絡。
奇妙马戏团官网