Внимание към собствениците на нови преносими компютри (и всички останали също) - krokodilskie lytdybry
Да видим какво руткит и това, което неговите способности. Ето извадки от доклада Ортега и Сако (съкратен превод):
Атаките на защита на кражба BIOS-технология / Алфредо Ортега, Анибал Сако
въведение
Това е доклад за нашето изследване, защита от неоторизирано използване на вашия компютър вграден PC BIOS. Анализирахме програмата Computrace BIOS и документирани уязвимости, които ви позволяват да се поеме контрол на взаимоотношенията с програмата агент. Ние също така кратко описание на експерименталния метод за това как да се върне фабричните настройки по подразбиране на Агента благодарение на активиране / деактивиране. Ние вярваме, че такива възможности за управление на агент го характеризират като най-високата опасност BIOS-руткит, който заобикаля всички ограничения на хардуерни или софтуерни и отива далеч отвъд функциите на други подобни програми.
Такива възможности обикновено са присъщи руткитове. Единствената разлика е, че руткит се считат за зловреден софтуер и кражба на технологии за сигурност като юридическо.
В хода на изследвания, ние открихме, че липсата на силна автентикация в BIOS-агент е източник на множество уязвимости, които могат да компрометират уязвима система. Това ще бъде обсъдено по-нататък.
Агент Сам, какво е заложено на карта, това е вграден PCI Option ROM BIOS в повечето лаптопи и настолни системи някои BIOS. По избор ROM подразбиране е изключена като устройство PCI. Веднъж активирана, тя прави промени във файла Windows директно от BIOS на системата, да инсталират нова услуга и променя файловете на ядрото и системни услуги, като например системния регистър за грешки и самолечение механизъм, включително файла Autochk.exe.
операции Agent
След като инсталирате регистрите на агент като услуга система Windows се наричат "Remote Procedure Call (RPC) Нетни". Windows използва различни версии на това име за своите законни RPC услуги. По този начин, новата услуга е лесно да се бърка с легитимни Windows Services. Service се реализира в файловете или rpcnet.exe rpcnetp.exe.
Активиране / деактивиране на Агента
На някои преносими модели, например, агентът може да се активира и деактивира помощта на опциите за BIOS серия от Dell Inspirion. Ние ще ви разкажа за начина как да възстановите NVRAM, с помощта на дупки в SMBIOS, за да възстановите конфигурацията на агент на фабричните настройки. Но това позволява на всяка програма, за да използвате този метод, което показва, че няма възможност да се активира или деактивира агента завинаги.
данни
Открихме три основни проблеми на защита от неразрешено използване Computrace:
1. Липса на удостоверяване, за да направите промени в конфигурацията агент, който ви позволява да контролирате компютъра си от външната страна на домакина.
2. Липса на удостоверяване в скрит модул представител, който ви позволява да променят директно на BIOS.
3. Само една версия на Агента, ние открихме, възможност за активиране / деактивиране за възстановяване на конфигурацията на фабричните настройки.
Но все още има неща, за чието възникване на който не можем да се потвърди или отхвърли ясно:
5. Агентът може да се активира без знанието на потребителя.
Без съмнение този агент с главна буква, тъй като тя се нарича Ортега и Сако. Какво се случва? собствениците на BIOS руткитове агентът ниво да е в състояние да управляват всеки компютър с BIOS на тяхното развитие. Те се различават в известна степен от хакер, който ви е изпратил писмо под маската на атрактивна пощенска картичка със злонамерен троянски love.exe? Тя е по-различно, и хакери са международен мащаб. Въпреки, че има една разлика, самотен хакер, действащ от негово име, както и на BIOS-разработчиците хакери действат от името на всички производители на лаптопи, които са им позволили на BIOS, което е, HP, Dell, Lenovo, Toshiba, Gateway, Asus и Panasonic.
За да се защити данните от кражба, е достатъчно, за да ги съхранява в криптиран файл система. Не BIOS-руткит се предполага, че предпазва от не е необходим кражба. Освен това, руткит от Финикс е абсолютно безполезна за твърдените от тях реални цели, а именно, защитата на информация от кражба. За да получите достъп до твърдия диск на лаптопа, заобикаляйки руткит се монтира достатъчно от него, на друг компютър. Истинското предназначение на руткит, който всъщност осъзнах, това отдалечен достъп до информация за текущото компютъра.
Както можете да видите, ако са заразени:
присъствието на файлове на системата:
rpcnet.exe
rpcnetp.exe
rpcnet.dll
rpcnetp.dll
Как да премахнете:
Инсталирайте всяка операционна система, различна от Micro $ често
Absolute позвъни и ще поиска да изключите (само модулите остават)
Премахване на ръчно (www.freakyacres.com/remove_computrace_lojack)