近日,據(jù)國內(nèi)安全廠商360、綠盟科技等公司發(fā)現(xiàn)，有用戶計算機主板BIOS中預置了一款由Absolute公司開發(fā)的防盜追蹤軟件Computrace，該軟件可遠程獲取計算機中用戶文件、控制用戶系統(tǒng)、監(jiān)控用戶行為，甚至可在未經(jīng)授權的情況下自動下載安裝未知功能的程序，具有很大的安全隱患。現(xiàn)將具體風險情況、影響范圍及安全工作提示匯總?cè)缦拢?/P>

一、軟件安全風險基本情況

經(jīng)專家分析發(fā)現(xiàn)，Computrace軟件預置固化在多款型號計算機BIOS芯片中，軟件所使用的網(wǎng)絡協(xié)議能夠提供基礎的遠程代碼執(zhí)行功能，不需要遠程服務器使用任何加密措施或認證，且該遠程控制功能隨開機啟動，在計算機啟動后，操作系統(tǒng)會靜默安裝該軟件并向外傳輸不明數(shù)據(jù),并此后常駐于用戶電腦，安全風險較大。

二、影響范圍

聯(lián)想、戴爾、蘋果、微軟、惠普、富士、東芝、松下、三星、華碩、宏基等廠商部分便攜式計算機、臺式機、工作站。

三、Absolute防盜追蹤軟件排查與處置方法

1、排查是否

聯(lián)想品牌計算機請進入BIOS“Security”菜單，查找是否有“Anti-Theft”子項，即如下圖所示。

如有“Anti-Theft”子項，進入后可發(fā)現(xiàn)Absolute的防盜追蹤軟件Computrace，即說明存在該軟件。

其他品牌請在BIOS菜單中逐一篩查。

2、處置

方法1：更換主板或升級BIOS

升級方法請聯(lián)系計算機生產(chǎn)商咨詢。

方法2：禁止該軟件運行

第步：打開注冊表編輯器，請定位到：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager

將右邊的 BootExecute 鍵值（系統(tǒng)默認為autocheckautochk *）備份后刪除掉，阻止該程序自動再啟動后續(xù)進程。

第步：在任務管理器中結束相關進程，刪除System32目錄下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll，此時切勿重新啟動Windows。

第步：在System32目錄下分別新建以上四個文件，文件內(nèi)容為空，為每個文件執(zhí)行如下操作：右鍵單擊，打開屬性頁，切換到“安全”選項卡，為列出的每個用戶或組（包括SYSTEM）設置為拒絕“完全控制”。

方法3：禁止該軟件訪問網(wǎng)絡

修改host文件，將相關域名設置為禁止訪問：記事本打開C:\Windows\System32\drivers\etc\hosts文件，末行輸入以下信息后保存。

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

并在防火墻軟件中設置將rpcnet.exe、rpcnetp.exe 禁止訪問網(wǎng)絡。

四、網(wǎng)絡安全工作提示

針對該情況，請及時開展以下幾方面的工作：

一是請及時對計算機進行排查，發(fā)現(xiàn)預置Absolute公司軟件的，請根據(jù)情況合理處置。

二是加強應急處置。