Computrace - Le mouchard universel présent sur les PC, Mac et appareils Android « Korben
vendredi 23 mai 2014 à 09:37 Tiger-222, le 20/05/2014 à 15:26
BOOOUUUH le joli malware !
Indépendant du système, logé dans une partie du BIOS non modifiable, permet de géolocaliser votre machine, prendre accès à distance, supprimer des fichiers, en installer, etc.. Et même si vous le désactivez dans le BIOS, lorsque c'est possible, il se réactivera un peu plus tard tout seul, comme un grand.
Merci messieurs les constructeurs, vous êtes une belle bande d'enflures, pour changer.
(Permalink)
Les Petits Liens Malfaisants, le 20/05/2014 à 15:51
Ah bravo...
Déjà, pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l'un des processus suivants est lancé :
rpcnet.exe
rpcnetp.exe
32 bitsvchost.exe (tournant sur un OS en 64 bits)
Si les fichiers sont présents sur votre disque dur :
%Windir%\system32\rpcnet.exe
%Windir%\system32\rpcnetp.exe
%Windir%\system32\wceprv.dll
%Windir%\system32\identprv.dll
%Windir%\system32\Upgrd.exe
%Windir%\system32\autochk.exe.bak (FAT)
%Windir%\system32\autochk.exe.bak (NTFS)
Si vous voyez passer des requêtes DNS vers ces adresses :
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
m229.absolute.com ou toute m *. absolute.com
Si votre système se connecte à l'adresse IP suivante : 209.53.113.223
Si les clés suivantes sont présentes en base de registre :
HKLM\System\CurrentControlSet\Services\rpcnet
HKLM\System\CurrentControlSet\Services\rpcnetp
(Permalink)
Cochise, le 20/05/2014 à 16:30
Ah oui quand même, j'avais entendu parler de rumeur, c'est confirmé.... Et là c'st plutôt dur de pouvoir passer a côté...
Mais bon comme la plupart des gens vont dire "Je m'en fous, j'ai rien a cacher....".
(Permalink)
Strak, le 20/05/2014 à 17:28
J'ai lu en travers, mais ça semble être la méga-merde: en gros, Absolute Computrace est un programme qui s'immisce dans votre pc
par le BIOS et il est IMPOSSIBLE de le déloger, même en flashant le BIOS. Toshiba a reconnu l'installer car, comble du comble, ce programme
est légitime mais peut être utilisé par un attaquant pour faire ce qu'il veut sur votre PC, comme la NSA ou un autre organisme doit déjà le faire...
Une liste de constructeurs et de matos infectés par la chose est dispo à la fin de l'article.
EDIT: super, une de mes connaissances dispose de cette free-backdoor... ><
(Permalink)
Kevin Merigot, le 20/05/2014 à 17:35
#old http://www.mypersonnaldata.eu/shaarli/?X3NWDQ ^^
Toujours bon à savoir.
Et l'adresse IP, je vais la bloquer je pense...
(Permalink)
Sebsauvage, le 20/05/2014 à 17:36
Oui j'en avais parlé là: http://sebsauvage.net/links/?searchterm=computrace
Notez que tel qu'il est conçu, cela permet à la société Absolute d'exécuter absolument n'importe quelle commande sur votre ordinateur, quelle que soit votre système d'exploitation.
Vous comprenez, maintenant, pourquoi Richard Stallman refuse d'avoir un ordinateur portable dont le BIOS ne soit pas opensource ?
(Permalink)
Mitsu, le 20/05/2014 à 18:56
OH WOW
J'avais entendu parler de Computrace, mais ça serait bien pire que ce que je croyais :o
Raison de plus pour assembler soi-même son PC portable, et se désintéresser des tablettes.
(Permalink)
Chassegnouf, le 20/05/2014 à 19:29
(Permalink)
Kevin Vuilleumier, le 20/05/2014 à 21:45
Computrace, un mouchard présent sur quantité d'ordinateurs (portables ?), non détectés par les antivirus, non supprimable car situé dans une partie non modifiable du BIOS et auto installable sur l'OS ! Cerise sur le gâteau : il fait du trafic réseau et ralenti la machine... En plus, le trafic n'est même pas chiffré, ainsi n'importe qui peut se faire passer pour les serveurs légitimes !
Existe aussi en version mobile. Encore une backdoor installée sous couvert de "sécurité"...
(Permalink)
nekoblog, le 20/05/2014 à 21:45
Apparemment, ya rien de nouveau, on tombe sur des articles datant de 2010 (http://www.freakyacres.com/remove_computrace_lojack). Reste que je connaissais pas (où alors Alzheimer est plus proche que je le pensais).
C'est assez flippant en fait. Et je me pose une question, il n'y a que des machines pré-assemblées par des constructeurs dans la liste (que j'imagine ne pas être exhaustive), qu'en est-il des mobos vendues par les marques qui sont partenaires d'Absolute ?
Ce serait pas un mal que le hardware open-source se développe (même si ça ne protège pas d'une éventuelle corruption du matos par le fabriquant).
(via https://root.suumitsu.eu/links/?9CgtRQ)
(Permalink)
Sam Ganegie, le 21/05/2014 à 05:07
(Permalink)
sbgodin, le 21/05/2014 à 10:27
« Et si je vous disais qu'il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n'avez jamais entendu parler ? »
(Permalink)
Creposuke, le 23/05/2014 à 09:37
bon bah mon ordi portable est dans la liste des potentiels mouchards :(
(Permalink)
BOOOUUUH le joli malware !
Indépendant du système, logé dans une partie du BIOS non modifiable, permet de géolocaliser votre machine, prendre accès à distance, supprimer des fichiers, en installer, etc.. Et même si vous le désactivez dans le BIOS, lorsque c'est possible, il se réactivera un peu plus tard tout seul, comme un grand.
Merci messieurs les constructeurs, vous êtes une belle bande d'enflures, pour changer.
(Permalink)
Les Petits Liens Malfaisants, le 20/05/2014 à 15:51
Ah bravo...
Déjà, pour vérifier si Computrace est présent sur votre ordinateur, vous pouvez lancer HijackThis et vérifier si l'un des processus suivants est lancé :
rpcnet.exe
rpcnetp.exe
32 bitsvchost.exe (tournant sur un OS en 64 bits)
Si les fichiers sont présents sur votre disque dur :
%Windir%\system32\rpcnet.exe
%Windir%\system32\rpcnetp.exe
%Windir%\system32\wceprv.dll
%Windir%\system32\identprv.dll
%Windir%\system32\Upgrd.exe
%Windir%\system32\autochk.exe.bak (FAT)
%Windir%\system32\autochk.exe.bak (NTFS)
Si vous voyez passer des requêtes DNS vers ces adresses :
search.namequery.com
search.us.namequery.com
search64.namequery.com
bh.namequery.com
namequery.nettrace.co.za
search2.namequery.com
m229.absolute.com ou toute m *. absolute.com
Si votre système se connecte à l'adresse IP suivante : 209.53.113.223
Si les clés suivantes sont présentes en base de registre :
HKLM\System\CurrentControlSet\Services\rpcnet
HKLM\System\CurrentControlSet\Services\rpcnetp
(Permalink)
Cochise, le 20/05/2014 à 16:30
Ah oui quand même, j'avais entendu parler de rumeur, c'est confirmé.... Et là c'st plutôt dur de pouvoir passer a côté...
Mais bon comme la plupart des gens vont dire "Je m'en fous, j'ai rien a cacher....".
(Permalink)
Strak, le 20/05/2014 à 17:28
J'ai lu en travers, mais ça semble être la méga-merde: en gros, Absolute Computrace est un programme qui s'immisce dans votre pc
par le BIOS et il est IMPOSSIBLE de le déloger, même en flashant le BIOS. Toshiba a reconnu l'installer car, comble du comble, ce programme
est légitime mais peut être utilisé par un attaquant pour faire ce qu'il veut sur votre PC, comme la NSA ou un autre organisme doit déjà le faire...
Une liste de constructeurs et de matos infectés par la chose est dispo à la fin de l'article.
EDIT: super, une de mes connaissances dispose de cette free-backdoor... ><
(Permalink)
Kevin Merigot, le 20/05/2014 à 17:35
#old http://www.mypersonnaldata.eu/shaarli/?X3NWDQ ^^
Toujours bon à savoir.
Et l'adresse IP, je vais la bloquer je pense...
(Permalink)
Sebsauvage, le 20/05/2014 à 17:36
Oui j'en avais parlé là: http://sebsauvage.net/links/?searchterm=computrace
Notez que tel qu'il est conçu, cela permet à la société Absolute d'exécuter absolument n'importe quelle commande sur votre ordinateur, quelle que soit votre système d'exploitation.
Vous comprenez, maintenant, pourquoi Richard Stallman refuse d'avoir un ordinateur portable dont le BIOS ne soit pas opensource ?
(Permalink)
Mitsu, le 20/05/2014 à 18:56
OH WOW
J'avais entendu parler de Computrace, mais ça serait bien pire que ce que je croyais :o
Raison de plus pour assembler soi-même son PC portable, et se désintéresser des tablettes.
(Permalink)
Chassegnouf, le 20/05/2014 à 19:29
(Permalink)
Kevin Vuilleumier, le 20/05/2014 à 21:45
Computrace, un mouchard présent sur quantité d'ordinateurs (portables ?), non détectés par les antivirus, non supprimable car situé dans une partie non modifiable du BIOS et auto installable sur l'OS ! Cerise sur le gâteau : il fait du trafic réseau et ralenti la machine... En plus, le trafic n'est même pas chiffré, ainsi n'importe qui peut se faire passer pour les serveurs légitimes !
Existe aussi en version mobile. Encore une backdoor installée sous couvert de "sécurité"...
(Permalink)
nekoblog, le 20/05/2014 à 21:45
Apparemment, ya rien de nouveau, on tombe sur des articles datant de 2010 (http://www.freakyacres.com/remove_computrace_lojack). Reste que je connaissais pas (où alors Alzheimer est plus proche que je le pensais).
C'est assez flippant en fait. Et je me pose une question, il n'y a que des machines pré-assemblées par des constructeurs dans la liste (que j'imagine ne pas être exhaustive), qu'en est-il des mobos vendues par les marques qui sont partenaires d'Absolute ?
Ce serait pas un mal que le hardware open-source se développe (même si ça ne protège pas d'une éventuelle corruption du matos par le fabriquant).
(via https://root.suumitsu.eu/links/?9CgtRQ)
(Permalink)
Sam Ganegie, le 21/05/2014 à 05:07
(Permalink)
sbgodin, le 21/05/2014 à 10:27
« Et si je vous disais qu'il y a dans votre ordinateur un mouchard que vous ne pouvez pas enlever, qui a été mis en place par le constructeur, qui est sur les listes blanches de la plupart des antivirus et dont vous n'avez jamais entendu parler ? »
(Permalink)
Creposuke, le 23/05/2014 à 09:37
bon bah mon ordi portable est dans la liste des potentiels mouchards :(
(Permalink)