(028)61831184 
工作日9:00-12:00,13:00-17:00
iservice@uestc.edu.cn
信息安全
关于Absolute公司 防盗追踪软件存在安全风险的预警通报
发布于:2019-06-13 09:58:03   |   作者:陆玲   |   浏览次数:

近日,有研究人员发现其计算机主板BIOS中预置了一款Absolute公司开发的防盗追踪软件Computrace,在计算机启动后,操作系统即隐蔽安装该软件并向境外传输不明数据,该软件还可远程获取计算机中用户文件、控制用户系统、监控用户行为,甚至可在未经授权情况下自动下载安装不明程序,具有极高的安全风险。根据相关单位的预警通报,现将相关情况通报如下:

一、基本情况

经分析,该Computrace软件预置固化在多款型号计算机BIOS芯片中,软件所使用的网络协议能够提供基础的远程代码执行功能,不需要远程服务器使用任何加密措施或认证,且该远程控制功能随开机启动,常驻于用户电脑,安全风险较大。

二、影响分析

经研判,本次事件可能影响范围包括:(目前只确认了部分机型存在该问题,未全部验证)联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站。

三、处置建议

请各单位接通报后高度重视,立即按以下方式开展全面排查,核查本单位重要信息系统服务器、计算机中是否预置Absolute公司软件,并立即采取合理、妥善处置措施,确保重要信息系统和重要数据的绝对安全。相关排查处置情况请于617日前反馈信息中心。

(一)排查方式。进入BIOSSecurity”菜单,查找是否有“Anti-Theft”子项,如有“Anti-Theft”子项,进入后可发现Absolute的防盗追踪软件Computrace,即说明存在该软件(如下图示)。

1-1Z53114530b35

(二)处置措施。

方法1:联系计算机生产、销售商更换主板或升级BIOS

方法2:禁止该软件运行。

第一步:打开注册表编辑器,在HKEY_LOCAL_MACHINE\SYSTEM

\CurrentControlSet\Control\Session Manager中将BootExecu

te键值(系统默认为autocheck autochk *)备份后删除掉,阻止该程序继续自动启动。

第二步:在任务管理器中结束相关进程,删除System32目录下的文件rpcnet.exerpcnetp.exerpcnet.dllrpcnetp.dll(注意:此时切勿重新启动Windows)。

第三步:在System32目录下分别新建以上四个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。

1-1Z53114533H01

方法3:禁止该软件访问网络。修改host文件,拒绝访问相关域名:在C:\Windows\System32\drivers\etc\hosts文件中加入以下信息并保存。

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

并在防火墙软件中设置禁止rpcnet.exerpcnetp.exe访问网络。