9599九五至尊老品牌

通知公告
关于Absolute企业防盗追踪App安全风险的提示 发布时间:2019/6/4 15:27:49  来源:9599九五至尊老品牌  已阅  次
 

近日,部分网络安全友商在其发声平台发布了Absolute企业的防盗App的风险提示。这是一款预置在计算机主板BIOS中的防盗追踪AppComputrace,计算机启动后,操作系统即隐蔽安装该App,经常向境外传输不明数据;该App可远程获取计算机中用户文件、控制用户系统、监控用户行为,甚至可在未经授权的情况下自动下载安装未知功能的程序,具有很大的安全隐患。

该App预置在多款型号的计算机BIOS芯片中,ComputraceApp提供可用于远程控制的网络协议,无任何加密措施或认证就可以被远程服务器控制,该功能随开机启动,常驻用户计算机,有较大的安全风险。

目前包括联想、戴尔、苹果、MicroSoft、惠普、富士、东芝、松下、SAMSUNG、华硕、宏基等厂商部分便携式计算机、台式机、工作站均受影响(目前只确认了部分机型存在该问题,未全部验证)。

建议我院用户及时检查自己使用的计算机,发现预置Absolute企业App的,请根据业务重要性等妥善处置,以下为排查与处置的方法,供参考。

排查方法

联想品牌计算机用户进入BIOS 的“Security”菜单,查找是否存在“Anti-Theft”选项(如图1),若存在,则进入后可发现存在ComputraceApp(如图2)。

 

    如用户使用的是其他品牌计算机,请在BIOS中逐一筛查。

处理方式

方法1更换主板或升级BIOS(升级方法请联系计算机生产商咨询)。

方法2禁止该App运行

第一步:打开注册表编辑器,如图3,请定位到:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

将右边的 BootExecute 键值(系统默认为autocheck autochk *)备份后删除掉,阻止该程序自动再启动后续进程。

 

第二步:删除System32目录下的文件rpcnet.exerpcnetp.exerpcnet.dllrpcnetp.dll,并在任务管理器中结束相关进程,注意不要重启计算机。

第三步:在System32目录下分别新建以上四个文件,文件内容为空,为每个文件实行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括SYSTEM)设置为拒绝“完全控制”。

方法3禁止该App访问网络

修改host文件,将相关域名设置为禁止访问:用记事本打开C:\Windows\System32\drivers\etc\hosts文件,末行输入以下信息后保存:

127.0.0.1  search.namequery.com

127.0.0.1  search.namequery.com

127.0.0.1  search2.namequery.com

127.0.0.1  search64.namequery.com

127.0.0.1  search.us.namequery.com

127.0.0.1  bh.namequery.com

127.0.0.1  namequery.nettrace.co.za

127.0.0.1  m229.absolute.com

并在防火墙App中设置将rpcnet.exerpcnetp.exe 禁止访问网络。

 © 九五至尊手机版网址信息管理中心  皖ICP备07500081  技术支撑:智诚网络 
XML 地图 | Sitemap 地图