近日，有技術(shù)愛好者反映其電腦主板 BIOS 中預(yù)置了一款由 Absolute 公司開發(fā)的防盜追蹤軟件 Computrace。電腦啟動(dòng)后，操作系統(tǒng)會(huì)隱蔽安裝該軟件，經(jīng)常向境外傳輸不明數(shù)據(jù)。

該軟件可以遠(yuǎn)程獲取電腦中的用戶文件，控制用戶系統(tǒng)，監(jiān)控用戶行為，甚至可以在沒有授權(quán)的情況下自動(dòng)下載和安裝未知功能的程序，具有很大的安全隱患。

經(jīng)專家分析發(fā)現(xiàn)，Computrace 軟件預(yù)置固化在多款型號(hào)的電腦 BIOS 芯片中。軟件所使用的網(wǎng)絡(luò)協(xié)議能夠提供基礎(chǔ)的遠(yuǎn)程代碼執(zhí)行功能，不需要遠(yuǎn)程服務(wù)器使用任何加密措施或認(rèn)證，且該遠(yuǎn)程控制功能隨開機(jī)啟動(dòng)，常駐于用戶電腦，安全風(fēng)險(xiǎn)較大。

聯(lián)想、戴爾、蘋果、微軟、惠普、富士、東芝、松下、三星、華碩、宏基等廠商部分筆記本電腦和臺(tái)式機(jī)上都存在該軟件。那該怎樣排查和處置呢？

首先，排查它是否存在。以“聯(lián)想”電腦為例，進(jìn)入 BIOS 的“Security”菜單，查找是否有“Anti-Theft”子項(xiàng)（如下圖所示）：

如果有的話，進(jìn)入后就能發(fā)現(xiàn) Absolute 的防盜追蹤軟件 Computrace（如下圖所示）：

其他品牌電腦的 BIOS 菜單篩查方法類似。處置方法如下：

方法 1：更換主板或升級(jí) BIOS

升級(jí)方法請(qǐng)聯(lián)系電腦生產(chǎn)商咨詢。

方法 2：禁止該軟件運(yùn)行

（1）打開注冊(cè)表編輯器，然后定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager，將右邊的 BootExecute 鍵值（系統(tǒng)默認(rèn)為 autocheck autochk *）備份后刪除掉，以便阻止該程序再自動(dòng)啟動(dòng)后續(xù)進(jìn)程。

（2）在任務(wù)管理器中結(jié)束相關(guān)進(jìn)程，刪除 System32 目錄下的 rpcnet.exe、rpcnetp.exe、rpcnet.dll、rpcnetp.dll 等文件。此時(shí)切勿重新啟動(dòng)Windows 系統(tǒng)。

（3）在 System32 目錄下分別新建以上 4 個(gè)文件，文件內(nèi)容為空，為每個(gè)文件執(zhí)行如下操作：右鍵單擊，打開屬性頁，切換到“安全”選項(xiàng)卡，為列出的每個(gè)用戶或組（包括 SYSTEM）設(shè)置為拒絕“完全控制”。

方法 3：禁止該軟件訪問網(wǎng)絡(luò)

修改 host 文件，將相關(guān)域名設(shè)置為禁止訪問。用記事本（也可借助上圖所示 Dism++ 等工具軟件）?打開文件?C:\Windows\System32\drivers\etc\hosts ，在末行輸入以下信息后保存：

127.0.0.1? ? search.namequery.com

127.0.0.1? ? search.namequery.com

127.0.0.1? ? search2.namequery.com

127.0.0.1? ? search64.namequery.com

127.0.0.1? ? search.us.namequery.com

127.0.0.1? ? bh.namequery.com

127.0.0.1? ? namequery.nettrace.co.za

127.0.0.1? ? m229.absolute.com

然后，在防火墻軟件中將文件?rpcnet.exe 和 rpcnetp.exe?設(shè)置為禁止訪問網(wǎng)絡(luò)。