Bios-агент Computrace причинени подозрение в "Лаборатория Касперски"

Допълнителна ROM има малък участък с модули Computrace агент се добавят BIOS производител и зашит на производителя на фабрика компютър (или по-скоро, производителя на дънната платка). Интересното е, че в продължение на фърмуера, съдържащ CompuTrace, подходящите настройки в BIOS Настройка могат да съществуват едновременно и да липсват. Така например, в ASUS X102BA те не са.

В същото време, модулът за Computrace дава възможност за отдалечен достъп до вашия компютър чрез интернет. Производителите инсталират шпионски софтуер в BIOS в някои преносими модели, без предизвестие на клиента. Например, тя се е случило с купувачите на лаптоп ASUS 1225B, Samsung 900X3C и Samsung NP670Z5E.

Диаграмата показва производителите на дънната платка на компютъра с активния агент Computrace. Статистика, събрани от мрежата KSN.

"Kaspersky Lab" е учил комуникация Computrace агент към отдалечен сървър и е установено, доста прост протокол.

"Подробен протокол изследване ни дава представа за това, неговият дизайн е предназначен за отдалечено изпълнение на команди от всякакъв вид. Ние нямаме доказателства, че Absolute CompuTrace е била използвана като платформа за атаки, но ние ясно да види възможност за това, както и някои смущаващи и необясними факти правят тази възможност по-реалистично - експерти антивирусна компания пишат. - Ние сме дълбоко убедени, че такъв прогресивен инструмент трябва да има не по-малко прогресивно защита срещу неразрешено използване, включително механизми за сигурно удостоверяване и криптиране ".

Индикатори Computrace агентска дейност

1. Един от работещ процеси:

  • rpcnet.exe
  • rpcnetp.exe
  • 32-bitsvchost.exe, работи на 64-bitsisteme (непряка светлина)

2. Един от файловете съществува на диска:

  • % WINDIR% System32rpcnet.exe
  • % WINDIR% System32rpcnetp.exe
  • % WINDIR% System32wceprv.dll
  • % WINDIR% System32identprv.dll
  • % WINDIR% System32Upgrd.exe
  • % WINDIR% System32autochk.exe.bak (за FAT)
  • % WINDIR% System32autochk.exe: бак (за NTFS)

3. системата изпраща DNS-искания за следните области:

  • search.namequery.com
  • search.us.namequery.com
  • search64.namequery.com
  • bh.namequery.com
  • namequery.nettrace.co.za
  • search2.namequery.com
  • m229.absolute.com или всяко m * .absolute.com

5. Налице е един от следните ключове в системния регистър:

новини Сподели с приятели: