Девятый бит: Блог кафедры АСОИУ ОмГТУ

Подарок от вендоров: free руткит в BIOS’е ноута

Попал однажды мне ноут (RoverBook) с серьезными проблемами на апгрейд. После установки чистой системы + Process Explorer + KISки я вспомнил, что BIOS на ноуте – от Phoenix…Ох уж эти «бонусы» от Phoenix!

Услышав  «хрюшку киски» :-) на попытку службы по адресу «%windir%\system32\rpcnetp.exe» создать рядом с собой файл «rpcnetp.dll», запустиь «svchost.exe» скормив ему «rpcnetp.dll» и запустить IE, я сразу кинул «%windir%\system32\rpcnetp.exe» в «недоверенные» и запретил всем пользователям его запуск.

Кратко «что это было o_O»

Это – Computrace BIOS.  Встраиваемая в BIOS большинства ноутбуков, продающихся с 2005 года, эта технология защиты от кражи сейчас невероятно популярна. Компания Phoenix, владеющая лицензией на технологию, безусловный лидер на рынке портативных BIOS, на ее долю приходится 60% продаж.

Система работает так: периодически связывается с авторизованным центром, и в случае кражи авторизованный центр дает команду Агенту стереть всю информацию с жесткого диска или установить местонахождение компьютера, чтобы с помощью правоохранительных органов вернуть похищенное. В целях эффективности Агент должен быть скрытым, иметь полный контроль на системой и, что самое важное, быть неудаляемым, потому что уничтожение данных наиболее популярная мера в случае кражи.

Как это работает

Сам Агент – это часть BIOS’а. После активации он вносит изменения в файловую систему Windows непосредственно из BIOS, устанавливает новый сервис и модифицирует файлы ядра и системные службы (например, реестр и механизм самовосстановления, включая файл Autochk.exe).

Агент Computrace также имеет возможность читать защищенную файловую систему в Windows Vista/7. Поддерживает системы Windows 98/XP и Vista/7 с файловыми системами FAT32 и NTFS. После установки Агента и загрузки Windows, агент запускается как служба, связывается с удаленной системой и ждет инструкций (типичный бэкдор). Процесс может подгружать дополнительные программные модули или запускаться с различными параметрами.

Подробнее тут и тут.

P.S. Авторизованный центр не несет никакой ответственности за действия своих сотрудников, которые от скуки захотели поразвлечься.

You must be logged in to post a comment.