До уваги власників нових ноутбуків (та й усім іншим теж) - крокодільскіе литдибр
Подивимося чим займається цей руткит і які його здібності. Ось витяги зі звіту Ортеги і Сакко (скорочений переклад):
Атаки на BIOS-технологію захисту від крадіжки / Alfredo Ortega, Anibal Sacco
Вступ
Це звіт про наше дослідження технології захисту від крадіжки комп'ютера вбудованої в PC BIOS. Ми проаналізували програму Computrace BIOS і задокументували уразливості, які дозволяють взяти під контроль зв'язок з агентської програмою. Ще ми коротко описали експериментальний спосіб як повернути заводські настройки Агента за рахунок його активації / деактивації. Ми впевнені, що такі можливості управління Агентом характеризують його як найвищої небезпеки BIOS-руткіт, який обходить всі апаратні або програмні обмеження і виходить далеко за рамки функцій інших подібних програм.
Такі можливості зазвичай притаманні руткитам. Єдина відмінність в тому, що руткіти розцінюються як шкідливе ПЗ, а технологія захисту від крадіжки як легальне.
По ходу дослідження ми виявили, що відсутність суворої аутентифікації в BIOS-агента є джерелом ряду вразливостей, які можуть скомпроментіровалі цільову систему. Про це ми розповімо далі.
Сам Агент, про що йде мова, це вбудована PCI Option ROM в BIOS більшості ноутбуків і деяких BIOS настільних систем. Optional ROM за замовчуванням виключений як пристрій PCI. Після активації він вносить зміни в файлову систему Windows безпосередньо з BIOS, встановлює новий сервіс і модифікує файли ядра і системні служби, наприклад, реєст і механізм самовідновлення, включаючи файл Autochk.exe.
операції Агента
Після установки агент регістрів як системна служба Windows називаючи себе "Remote Procedure Call (RPC) Net". Windows використовує різні варіанти цього імені для своїх легальних сервісів RPC. Таким чином, новий сервіс легко сплутати з легальними сервісами Windows. Сервіс реалізується в файлах rpcnet.exe або rpcnetp.exe.
Активація / деактивація Агента
На деяких моделях ноутбуків, на приклад серії Dell Inspirion, агент може бути активований або деактивовано за допомогою опції BIOS. Ми розповімо про спосіб як перевстановити NVRAM за допомогою дірки в SMBIOS, щоб повернути конфігурацію Агента до заводських налаштувань. Але це дозволяє будь-якій програмі задіяти цей спосіб, демонструючи що не існує можливості назавжди активувати або деактивувати Агента.
висновки
Ми виявили три головних проблеми технології захисту від крадіжки Computrace:
1. Відсутність аутентифікації для внесення змін в конфігурацію Агента, що дозволяє управляти комп'ютером за стороннього хоста.
2. Відсутність аутентифікації в прихованому модулі Агента, яка дозволяє безпосередньо модифікувати BIOS.
3. Всього лише в одній версії Агента ми знайшли можливість його активації / деактивації, щоб повернути конфігурацію до заводських налаштувань.
Але залишилися ще речі, наявність яких ми не можемо однозначно ні підтвердити, ні спростувати:
5. Агент може бути активований без відома користувача.
Поза всякими сумнівами це Агент з великої літери, як називають його Ортега і Сакко. Що виходить? Власники Агента-руткита рівня BIOS мають можливість управляти кожним комп'ютером, оснащеним BIOS їх розробки. Чи відрізняються вони чимось від хакера, який посилає вам лист під виглядом привабливою листівки зі злісним трояном love.exe? Нічим не відрізняються, і є хакерами міжнародного масштабу. Хоча є одна відмінність, хакер-одинак діє від свого імені, а хакери-розробники-BIOS діють від імені всіх виробників ноутбуків, де задіяна їх BIOS, тобто HP, Dell, Lenovo, Toshiba, Gateway, Asus і Panasonic.
Для захисту даних від крадіжки досить зберігати їх в зашифрованою файлової системи. Ніякої BIOS-руткіт нібито захищає від крадіжки не потрібен. Крім того, руткит від Phoenix абсолютно даремний для своїх нібито дійсних цілей, тобто захисту інформації від крадіжки. Щоб отримати доступ до жорсткого диска ноутбука в обхід руткита досить змонтувати його до іншого комп'ютера. Справжня мета руткита, яка дійсно реалізується, це віддалений доступ до інформації на діючому комп'ютері.
Як можна помітити, інфіковані ви:
наявність файлів в системі:
rpcnet.exe
rpcnetp.exe
rpcnet.dll
rpcnetp.dll
Як видалити:
Встановити будь-яку ОС відмінну від Micro $ oft
Зателефонувати в Absolute і зажадати відключити (тільки модулі залишаться)
Видалити вручну (www.freakyacres.com/remove_computrace_lojack)