?

体育彩票22选5开奖:綠盟科技

400-818-6868

安全研究

威脅通告
【預警通告】關于Absolute公司防盜追蹤軟件安全風險

發布日期:2019年5月30日

近日,有研究人員發現其計算機主板BIOS中預置了一款由Absolute公司開發的防盜追蹤軟件Computrace,在計算機啟動后,操作系統會靜默安裝該軟件并向境外傳輸不明數據。該軟件還可從計算機中遠程獲取用戶文件,監控用戶行為以及在未授權情況下下載安裝不明程序。

該軟件預置在多款型號的計算機BIOS芯片中,Computrace軟件提供可用于遠程控制的網絡協議,無任何加密措施或認證就可以被遠程服務器控制,該功能隨開機啟動,常駐用戶計算機,有較大的安全風險。、



影響情況

目前包括聯想、戴爾、蘋果、微軟、惠普、富士、東芝、松下、三星、華碩、宏基等廠商部分便攜式計算機、臺式機、工作站均受影響。

解決方案

建議用戶及時進行自查,并根據自身業務要求等進行合理處置,以下為參考建議。
  • 排查方法

用戶進入BIOS Security菜單中查找是否存在“Anti-Theft”選項,若存在,則進入后可發現存在Computrace軟件。

  • 處置建議
  1. 打開注冊表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中將BootExecute鍵值備份后刪除,阻止該程序繼續自動啟動。
  2. 刪除System32目錄下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,并在任務管理器中結束相關進程。
  3. 在System32目錄下分別新建以上四個文件,文件內容為空,并在每個文件的安全屬性中將所有用戶/組設置為拒絕“完全控制”。

除此之外,用戶還可以通過修改host文件,拒絕訪問部分域名。在C:\Windows\System32\drivers\etc\hosts中加入以下信息并保存:


127.0.0.1      search.namequery.com
127.0.0.1      search.namequery.com
127.0.0.1      search2.namequery.com
127.0.0.1      search64.namequery.com
127.0.0.1      search.us.namequery.com
127.0.0.1      bh.namequery.com
127.0.0.1      namequery.nettrace.co.za
127.0.0.1      m229.absolute.com

同時在防火墻中設置阻止rpcnet.exe、rpcnetp.exe訪問網絡。



聲 明

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

 

關于綠盟科技

北京神州綠盟信息安全科技股份有限公司(簡稱綠盟科技)成立于2000年4月,總部位于北京。在國內外設有30多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供具有核心競爭力的安全產品及解決方案,幫助客戶實現業務的安全順暢運行。

基于多年的安全攻防研究,綠盟科技在網絡及終端安全、互聯網基礎安全、合規及安全管理等領域,為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

北京神州綠盟信息安全科技股份有限公司于2014年1月29日起在深圳證券交易所創業板上市,股票簡稱:綠盟科技,股票代碼:300369。



瀏覽次數:

關 閉