![b1fe9d45596725864fc1eaf741ac214f.png](https://i-blog.csdnimg.cn/blog_migrate/2bc8c6ca3bcbe00cb139d21d083d1074.jpeg)
近日,有技术爱好者反映其电脑主板 BIOS 中预置了一款由 Absolute 公司开发的防盗追踪软件 Computrace。电脑启动后,操作系统会隐蔽安装该软件,经常向境外传输不明数据。
该软件可以远程获取电脑中的用户文件,控制用户系统,监控用户行为,甚至可以在没有授权的情况下自动下载和安装未知功能的程序,具有很大的安全隐患。
经专家分析发现,Computrace 软件预置固化在多款型号的电脑 BIOS 芯片中。软件所使用的网络协议能够提供基础的远程代码执行功能,不需要远程服务器使用任何加密措施或认证,且该远程控制功能随开机启动,常驻于用户电脑,安全风险较大。
联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分笔记本电脑和台式机上都存在该软件。那该怎样排查和处置呢?
首先,排查它是否存在。以“联想”电脑为例,进入 BIOS 的“Security”菜单,查找是否有“Anti-Theft”子项(如下图所示):
![ac5c83463ff7b2bbc74e42423dfb23b0.png](https://i-blog.csdnimg.cn/blog_migrate/503ff33d6f6caa6020622935cc135590.jpeg)
如果有的话,进入后就能发现 Absolute 的防盗追踪软件 Computrace(如下图所示):
![8eb7a93792ddc6b592d52329bf4afa56.png](https://i-blog.csdnimg.cn/blog_migrate/7ee977f701e8843bc0afc52592ac82af.jpeg)
其他品牌电脑的 BIOS 菜单筛查方法类似。处置方法如下:
方法 1:更换主板或升级 BIOS
升级方法请联系电脑生产商咨询。
方法 2:禁止该软件运行
(1)打开注册表编辑器,然后定位到:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManager,将右边的 BootExecute 键值(系统默认为 autocheck autochk *)备份后删除掉,以便阻止该程序再自动启动后续进程。
![598b264ed096349263657163cfbe7715.png](https://i-blog.csdnimg.cn/blog_migrate/e97b9b3921e8a0eab6c712f1696cb798.jpeg)
(2)在任务管理器中结束相关进程,删除 System32 目录下的 rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll 等文件。此时切勿重新启动Windows 系统。
(3)在 System32 目录下分别新建以上 4 个文件,文件内容为空,为每个文件执行如下操作:右键单击,打开属性页,切换到“安全”选项卡,为列出的每个用户或组(包括 SYSTEM)设置为拒绝“完全控制”。
方法 3:禁止该软件访问网络
![e091af305877423e88ed69a430ddd3d9.png](https://i-blog.csdnimg.cn/blog_migrate/727b298fee980124f64a6a13ca9a49cb.jpeg)
修改 host 文件,将相关域名设置为禁止访问。用记事本(也可借助上图所示 Dism++ 等工具软件) 打开文件 C:WindowsSystem32driversetchosts ,在末行输入以下信息后保存:
127.0.0.1 search.namequery.com
127.0.0.1 search.namequery.com
127.0.0.1 search2.namequery.com
127.0.0.1 search64.namequery.com
127.0.0.1 search.us.namequery.com
127.0.0.1 bh.namequery.com
127.0.0.1 namequery.nettrace.co.za
127.0.0.1 m229.absolute.com
然后,在防火墙软件中将文件rpcnet.exe 和 rpcnetp.exe设置为禁止访问网络。