IT新闻网
当前位置: 首页 > 24小时 > 正文

警告:联想惠普戴尔等品牌电脑存安全隐患,可监控用户行为

2019-06-02 07:42:38 来源:首都网警   

  近日,据国内安全厂商360、绿盟科技等公司发现,有用户计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace。

  BlackMNews注:据Abosolute公司官网介绍,Abosolute公司是一家提供安全漏洞修复的公司,该公司总部位于加拿大温哥华。

  该软件可远程获取计算机中用户文件、控制用户系统、监控用户行为,甚至可在未经授权的情况下自动下载安装未知功能的程序,具有很大的安全隐患。现将具体风险情况、影响范围及安全工作提示汇总如下:

  一、软件安全风险基本情况

  经专家分析发现,Computrace软件预置固化在多款型号计算机BIOS芯片中,软件所使用的网络协议能够提供基础的远程代码执行功能,不需要远程服务器使用任何加密措施或认证,且该远程控制功能随开机启动,在计算机启动后,操作系统会静默安装该软件并向外传输不明数据,并此后常驻于用户电脑,安全风险较大。

  二、影响范围

  联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站。

  三、Absolute防盗追踪软件排查与处置方法

  1、排查是否

  联想品牌计算机请进入BIOS“Security”菜单,查找是否有“Anti-Theft”子项,即如下图所示。

  如有“Anti-Theft”子项,进入后可发现Absolute的防盗追踪软件Computrace,即说明存在该软件。

  其他品牌请在BIOS菜单中逐一筛查。

  2、处置

  方法1:更换主板或升级BIOS

  升级方法请联系计算机生产商咨询。

  方法2:禁止该软件运行

  第①步:打开注册表编辑器,请定位到:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager

  将右边的 BootExecute 键值(系统默认为autocheckautochk *)备份后删除掉,阻止该程序自动再启动后续进程。

  第②步:在任务管理器中结束相关进程,删除System32目录下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,此时切勿重新启动Windows。

  第③步:在System32目录下分别新建以上四个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。

  方法3:禁止该软件访问网络

  修改host文件,将相关域名设置为禁止访问:记事本打开C:\Windows\System32\drivers\etc\hosts文件,末行输入以下信息后保存。

  127.0.0.1 search.namequery.com

  127.0.0.1 search.namequery.com

  127.0.0.1 search2.namequery.com

  127.0.0.1 search64.namequery.com

  127.0.0.1 search.us.namequery.com

  127.0.0.1 bh.namequery.com

  127.0.0.1 namequery.nettrace.co.za

  127.0.0.1 m229.absolute.com

  并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe 禁止访问网络。

  四、网络安全工作提示

  针对该情况,请及时开展以下几方面的工作:

  一是请及时对计算机进行排查,发现预置Absolute公司软件的,请根据情况合理处置。

  二是加强应急处置。

免责声明: IT商业新闻网遵守行业规则,本站所转载的稿件都标注作者和来源。 IT商业新闻网原创文章,请转载时务必注明文章作者和来源“IT商业新闻网”, 不尊重本站原创的行为将受到IT商业新闻网的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:[email protected]
微信公众号:您想你获取IT商业新闻网最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签: 联想 信息安全

品牌、内容合作请点这里: 寻求合作

相关阅读RELEVANT