关于部分品牌电脑内置Absolute公司防盗软件的安全提示

2019年6月10日，工业和信息化部网络威胁信息共享平台收到关于部分品牌电脑内置Absolute公司防盗软件Computrace的威胁情报。该软件可以利用其通信机制来远程执行任意代码。

一、威胁情况概述

计算机启动后，操作系统即隐蔽启动Computrace软件，Computrace客户端与Absolute 公司服务器通信，在协议层面针对服务器的合法性未做任何验证机制，攻击者通过DNS劫持和重放攻击，可以利用其通信机制来远程执行任意代码。因为Computrace防盗软件是烧制在BIOS中，无法通过应用软件进行修补，只要用户开放了该软件使用权限，那么该威胁将一直存在。

二、威胁影响范围及处理情况

国内众多品牌商务型笔记本或台式电脑

三、威胁修复建议

建议用户针对系统中已安装的Computrace软件采取相应的措施来降低或消除风险：

1.  电脑开机时按f1或DEL键，进入BIOS设置，在BIOS中“Security”菜单下查找是否有“Anti-Theft”子项，将其中“Computrace”设置修改为"Disabled"。

2.   更换主板或升级BIOS。

3.   打开注册表编辑器，定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager，将右边的 BootExecute 键值（系统默认为autocheck autochk *）备份后删除掉，阻止该程序自动再启动后续进程；在任务管理器中结束相关进程，删除windows\system32目录的rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll这4个文件，在Windows\system32目录下分别新建以上四个文件，文件内容为空，为每个文件执行如下操作：右键单击，打开属性页，切换到“安全”选项卡，为列出的每个用户或组（包括SYSTEM）设置为拒绝“完全控制”。

4.   禁止该软件访问网络，修改hosts文件，屏蔽该风险。记事本打开C:\Windows\System32\drivers\etc\hosts文件，末行输入以下信息后保存。

    127.0.0.1       search.namequery.com

    127.0.0.1       search.namequery.com

    127.0.0.1       search2.namequery.com

    127.0.0.1       search64.namequery.com

    127.0.0.1       search.us.namequery.com

    127.0.0.1       bh.namequery.com

    127.0.0.1       namequery.nettrace.co.za

    127.0.0.1       m229.absolute.com

    并在防火墙软件中设置将rpcnet.exe、rpcnetp.exe  禁止访问网络。