Bios-агент computrace викликав підозру у «лабораторії Касперського»
Додатковий ROM має невелику секцію з модулями Computrace агента, які додаються виробником BIOS і прошиваються на заводі виробником комп'ютера (а точніше, виробником материнської плати). Цікаво, що для прошивок, що містять Computrace, відповідні налаштування в BIOS Setup можуть як існувати, так і бути відсутнім. Наприклад, в ASUS X102BA їх немає.
У той же час модуль Computrace дозволяє здійснити віддалений доступ до комп'ютера через інтернет. Виробники встановлюють шпигунський софт в BIOS деяких моделей ноутбуків, не повідомляючи про це покупців. Наприклад, таке траплялося з покупцями ноутбуків ASUS 1225B, Samsung 900X3C і Samsung NP670Z5E.
На діаграмі показані виробники материнських плат комп'ютерів з активним агентом Computrace. Статистика зібрана з мережі KSN.
«Лабораторія Касперського» вивчила комунікацію агента Computrace з віддаленим сервером і виявила досить простий протокол.
«Детальний розгляд протоколу дає нам уявлення про те, що його дизайн спроектований для віддаленого виконання будь-якого роду команд. У нас немає доказів того, що Absolute Computrace був використаний як платформа для атак, але ми чітко бачимо можливість цього, і деякі тривожні і незрозумілі факти роблять цю можливість все більш реалістичною, - пишуть фахівці антивірусної компанії. - Ми глибоко переконані, що настільки прогресивний інструмент повинен мати настільки ж прогресивну захист від несанкціонованого використання, включаючи механізми надійної аутентифікації і шифрування ».
Індикатори активності агента Computrace
1. Один з процесів запущений:
- rpcnet.exe
- rpcnetp.exe
- 32-bitsvchost.exe, що працюють на 64-bitсістеме (непрямий індикатор)
2. Один з файлів існує на диску:
- % WINDIR% System32rpcnet.exe
- % WINDIR% System32rpcnetp.exe
- % WINDIR% System32wceprv.dll
- % WINDIR% System32identprv.dll
- % WINDIR% System32Upgrd.exe
- % WINDIR% System32autochk.exe.bak (для FAT)
- % WINDIR% System32autochk.exe: bak (для NTFS)
3. Система відправляє DNS-запити для наступних доменів:
- search.namequery.com
- search.us.namequery.com
- search64.namequery.com
- bh.namequery.com
- namequery.nettrace.co.za
- search2.namequery.com
- m229.absolute.com або будь-яких m * .absolute.com
5. Існує один з наступних ключів в реєстрі:
Поділися новиною з друзями: