一、基本情况

近日，有研究人员发现计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace，在计算机启动后，操作系统会静默安装该软件并向境外传输不明数据。该软件还可从计算机中远程获取用户文件，监控用户行为以及在未授权情况下下载安装不明程序。

二、攻击原理

经分析发现，Computrace软件预置固化在多款型号计算机BIOS芯片中，软件所使用的网络协议能够提供基础的远程代码执行功能，不需要远程服务器使用任何加密措施或认证，且该远程控制功能随开机启动，常驻于用户电脑，安全风险较大。

在目前复杂紧张的国际环境下，此类事件具有极高的安全隐患。部分监管机构已经正式发出通告要求快速全面彻查此类问题。请及时要求有关单位对使用的计算机进行排查，发现预置Absolute公司软件的，请根据业务重要性等妥善处置。

三、影响范围

目前包括联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站均受影响。

四、处置建议

1) 排查方法：

联想品牌计算机请进入BIOS“Security”菜单，查找是否有“Anti-Theft”子项，即如下图所示。

如有“Anti-Theft”子项，进入后可发现Absolute的防盗追踪软件Computrace，即说明存在该软件。

其他品牌请在BIOS菜单中逐一筛查。

2) 处置方法：

方法1：更换主板或升级BIOS

升级方法请联系计算机生产商咨询。

方法2：禁止该软件运行

打开注册表编辑器，请定位到：　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

将右边的 BootExecute 键值（系统默认为autocheck autochk *）备份后删除掉，阻止该程序自动再启动后续进程。

在任务管理器中结束相关进程，删除System32目录下的文件rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll，此时切勿重新启动Windows。

在System32目录下分别新建以上四个文件，文件内容为空，为每个文件执行如下操作：右键单击，打开属性页，切换到“安全”选项卡，为列出的每个用户或组（包括SYSTEM）设置为拒绝“完全控制”。

方法3：禁止该软件访问网络

修改host文件，将相关域名设置为禁止访问：记事本打开C:\Windows\System32\drivers\etc\hosts文件，末行输入以下信息后保存。

127.0.0.1 search.namequery.com

127.0.0.1 search.namequery.com

127.0.0.1 search2.namequery.com

127.0.0.1 search64.namequery.com

127.0.0.1 search.us.namequery.com

127.0.0.1 bh.namequery.com

127.0.0.1 namequery.nettrace.co.za

127.0.0.1 m229.absolute.com

并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe 禁止访问网络。

网络信息中心

2019年6月