«Лаборатория Касперского» опубликовала аналитический отчет с описанием нескольких случаев несанкционированной активации программного агента Computrace. Его часто ставят в прошивки ноутбуков для удаленного слежения (например, в случае кражи). Общее количество ноутбуков с установленными агентами Computrace по всему миру оценивается в 2 млн, причем значительная часть их находится в России.

Absolute Computrace

Агент Computrace — это приложение Windows, которое имеет две формы: сокращенную и полную. Сокращенную форму агента можно характеризовать как имеющую минимально возможный размер при максимальной гибкости и расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1, принадлежащем Absolute Software, этот агент описан как mini CDA (Communications Driver Agent)и предназначен для проверки наличия и работоспособности полноразмерного агента. В случае отсутствия полноценного агента, мини-агент загрузит его с сервера в глобальной сети.

Дополнительный ROM имеет небольшую секцию с модулями Computrace агента, которые добавляются производителем BIOS и прошиваются на заводе производителем компьютера (а точнее, производителем материнской платы). Интересно, что для прошивок, содержащих Computrace, соответствующие настройки в BIOS Setup могут как существовать, так и отсутствовать. Например, в ASUS X102BA их нет.

В то же время модуль Computrace позволяет осуществить удаленный доступ к компьютеру через интернет. Производители устанавливают шпионский софт в BIOS некоторых моделей ноутбуков, не уведомляя об этом покупателей. Например, такое случалось с покупателями ноутбуков ASUS 1225B, Samsung 900X3C и Samsung NP670Z5E.

На диаграмме показаны производители материнских плат компьютеров с активным агентом Computrace. Статистика собрана с сети KSN.

«Лаборатория Касперского» изучила коммуникацию агента Computrace с удаленным сервером и обнаружила довольно простой протокол.

«Детальное рассмотрение протокола дает нам представление о том, что его дизайн спроектирован для удаленного исполнения любого рода команд. У нас нет доказательств того, что Absolute Computrace был использован как платформа для атак, но мы отчетливо видим возможность этого, и некоторые тревожные и необъяснимые факты делают эту возможность все более реалистичной, — пишут специалисты антивирусной компании. — Мы глубоко убеждены, что столь прогрессивный инструмент обязан иметь столь же прогрессивную защиту от несанкционированного использования, включая механизмы надежной аутентификации и шифрования».

Индикаторы активности агента Computrace

1. Один из процессов запущен:

  • rpcnet.exe
  • rpcnetp.exe
  • 32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)

2. Один из файлов существует на диске:

  • %WINDIR%System32rpcnet.exe
  • %WINDIR%System32rpcnetp.exe
  • %WINDIR%System32wceprv.dll
  • %WINDIR%System32identprv.dll
  • %WINDIR%System32Upgrd.exe
  • %WINDIR%System32autochk.exe.bak (для FAT)
  • %WINDIR%System32autochk.exe:bak (для NTFS)

3. Система отправляет DNS-запросы для следующих доменов:

  • search.namequery.com
  • search.us.namequery.com
  • search64.namequery.com
  • bh.namequery.com
  • namequery.nettrace.co.za
  • search2.namequery.com
  • m229.absolute.com или любых m*.absolute.com

4. Система соединяется со следующим IP-адресом: 209.53.113.223

5. Существует один из следующих ключей в реестре:

  • HKLMSystemCurrentControlSetServicesrpcnet
  • HKLMSystemCurrentControlSetServicesrpcnetp

Оставить мнение