您所在位置: 网站首页 > 网络安全 > 正文
网络安全
关于做好Absolute公司防盗追踪软件安全防范工作的通知
发布时间:2019年06月14日 14:26       来源:信息化办公室    点击:

各校园网用户:

接重庆市网信办《关于Absolute公司防盗追踪软件的风险提示》通知,近日,有技术爱好者反映其计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace,计算机启动后,操作系统即隐蔽安装该软件,经常向境外传输不明数据;该软件可远程获取计算机中用户文件、控制用户系统、监控用户行为,甚至可在未经授权的情况下自动下载安装未知功能的程序,具有很大的安全隐患。为切实做好Absolute公司防盗追踪软件安全防范工作,请各用户高度重视,及时做好安全防范措施,消除安全隐患。

一、Computrace软件简述

Computrace软件预置固化在多款型号计算机BIOS芯片中,软件所使用的网络协议能够提供基础的远程代码执行功能,不需要远程服务器使用任何加密措施或认证,且该远程控制功能随开机启动,常驻于用户电脑,安全风险较大。

二、影响范围

联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站。

三、排查方法

1.联想品牌计算机排查方法

(1)联想品牌计算机请进入BIOS“Security”菜单。

进入BIOS菜单的方法:如果为笔记本,开机按“F2”键进入BIOS设置界面;如果为台式机,在开机或重启的Lenovo画面处,快速、连续多次按键盘的“F1”按键,即可进入BIOS界面,使用左右方向键将光标移至security菜单。

(2)查找是否有“Anti-Theft”子项,即如下图所示。

如有“Anti-Theft”子项,进入后可发现Absolute的防盗追踪软件Computrace,即说明存在该软件。

2. 其他品牌请在BIOS菜单中逐一筛查。

注意:不同品牌的计算机进入BIOS菜单方法可能不一样,用户可以根据计算机型号到网上自行查找。

四、处置方法

方法1:更换主板或升级BIOS

升级方法请联系计算机生产商咨询。

方法2:禁止该软件运行

第一步:打开注册表编辑器,请定位到:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

将右边的 BootExecute 键值(系统默认为autocheck autochk *)备份后删除掉,阻止该程序自动再启动后续进程。

第二步:在任务管理器中结束相关进程,删除System32目录下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll,此时切勿重新启动Windows。

第三步:在System32目录下分别新建以上四个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。

 

方法3:禁止该软件访问网络

修改host文件,将相关域名设置为禁止访问:记事本打开C:\Windows\System32\drivers\etc\hosts文件,末行输入以下信息后保存。

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe 禁止访问网络。

五、联系方式

联系电话:65022229,联系人:金尚柱。

 

 

重庆科技学院信息化办公室

2019年6月14日