Девятый бит: Архив блога кафедры АСОИУ ОмГТУ

Подарок от вендоров: free руткит в BIOS'е ноута

Попал однажды мне ноут (RoverBook) с серьезными проблемами на апгрейд. После установки чистой системы + Process Explorer + KISки я вспомнил, что BIOS на ноуте – от Phoenix...Ох уж эти "бонусы" от Phoenix!

Услышав  "хрюшку киски" :-) на попытку службы по адресу "%windir%\system32\rpcnetp.exe" создать рядом с собой файл "rpcnetp.dll", запустиь "svchost.exe" скормив ему "rpcnetp.dll" и запустить IE, я сразу кинул "%windir%\system32\rpcnetp.exe" в "недоверенные" и запретил всем пользователям его запуск.

Кратко "что это было o_O"

Это – Computrace BIOS.  Встраиваемая в BIOS большинства ноутбуков, продающихся с 2005 года, эта технология защиты от кражи сейчас невероятно популярна. Компания Phoenix, владеющая лицензией на технологию, безусловный лидер на рынке портативных BIOS, на ее долю приходится 60% продаж.

Система работает так: периодически связывается с авторизованным центром, и в случае кражи авторизованный центр дает команду Агенту стереть всю информацию с жесткого диска или установить местонахождение компьютера, чтобы с помощью правоохранительных органов вернуть похищенное. В целях эффективности Агент должен быть скрытым, иметь полный контроль на системой и, что самое важное, быть неудаляемым, потому что уничтожение данных наиболее популярная мера в случае кражи.

Как это работает

Сам Агент – это часть BIOS'а. После активации он вносит изменения в файловую систему Windows непосредственно из BIOS, устанавливает новый сервис и модифицирует файлы ядра и системные службы (например, реестр и механизм самовосстановления, включая файл Autochk.exe).

Агент Computrace также имеет возможность читать защищенную файловую систему в Windows Vista/7. Поддерживает системы Windows 98/XP и Vista/7 с файловыми системами FAT32 и NTFS. После установки Агента и загрузки Windows, агент запускается как служба, связывается с удаленной системой и ждет инструкций (типичный бэкдор). Процесс может подгружать дополнительные программные модули или запускаться с различными параметрами.

Подробнее тут и тут.

P.S. Авторизованный центр не несет никакой ответственности за действия своих сотрудников, которые от скуки захотели поразвлечься.