«Лаборатория Касперского» опубликовала аналитический отчет с описанием нескольких случаев несанкционированной активации программного агента Computrace.
Его часто ставят в прошивки ноутбуков для удаленного слежения
(например, в случае кражи). Общее количество ноутбуков с установленными
агентами Computrace по всему миру оценивается в 2 млн, причем
значительная часть их находится в России.
Агент Computrace — это приложение Windows, которое имеет две формы:
сокращенную и полную. Сокращенную форму агента можно характеризовать как
имеющую минимально возможный размер при максимальной гибкости и
расширяемости. Этот модуль внедряется в прошивку BIOS (а точнее в PCI
Option ROM или как UEFI-модуль). В патенте США за номером 20060272020A1,
принадлежащем Absolute Software, этот агент описан как mini CDA
(Communications Driver Agent)и предназначен для проверки наличия и
работоспособности полноразмерного агента. В случае отсутствия
полноценного агента, мини-агент загрузит его с сервера в глобальной
сети.
Дополнительный ROM имеет небольшую секцию с модулями Computrace
агента, которые добавляются производителем BIOS и прошиваются на заводе
производителем компьютера (а точнее, производителем материнской платы).
Интересно, что для прошивок, содержащих Computrace, соответствующие
настройки в BIOS Setup могут как существовать, так и отсутствовать.
Например, в ASUS X102BA их нет.
В то же время модуль Computrace позволяет осуществить удаленный
доступ к компьютеру через интернет. Производители устанавливают
шпионский софт в BIOS некоторых моделей ноутбуков, не уведомляя об этом
покупателей. Например, такое случалось с покупателями ноутбуков ASUS
1225B, Samsung 900X3C и Samsung NP670Z5E.
На диаграмме показаны производители материнских плат компьютеров с активным агентом Computrace. Статистика собрана с сети KSN.
«Лаборатория Касперского» изучила коммуникацию агента Computrace с удаленным сервером и обнаружила довольно простой протокол.
«Детальное рассмотрение протокола дает нам представление о том, что
его дизайн спроектирован для удаленного исполнения любого рода команд. У
нас нет доказательств того, что Absolute Computrace был использован как
платформа для атак, но мы отчетливо видим возможность этого, и
некоторые тревожные и необъяснимые факты делают эту возможность все
более реалистичной, — пишут специалисты антивирусной компании. — Мы
глубоко убеждены, что столь прогрессивный инструмент обязан иметь столь
же прогрессивную защиту от несанкционированного использования, включая
механизмы надежной аутентификации и шифрования».
Индикаторы активности агента Computrace
1. Один из процессов запущен:
rpcnet.exe
rpcnetp.exe
32-bitsvchost.exe, работающие на 64-bitсистеме (косвенный индикатор)
2. Один из файлов существует на диске:
%WINDIR%\System32\rpcnet.exe
%WINDIR%\System32\rpcnetp.exe
%WINDIR%\System32\wceprv.dll
%WINDIR%\System32\identprv.dll
%WINDIR%\System32\Upgrd.exe
%WINDIR%\System32\autochk.exe.bak (для FAT)
%WINDIR%\System32\autochk.exe:bak (для NTFS)
3. Система отправляет DNS-запросы для следующих доменов:
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
m229.absolute.com или любых m*.absolute.com
4. Система соединяется со следующим IP-адресом: 209.53.113.223