如果您的计算机运行了并非您主动激活过的反盗窃软件该怎么办?这些反盗窃软件能够远程访问您的计算机。即便更换硬盘也无法将他们删除。这听起来挺令人匪夷所思的,但实际上的确如此。
卡巴斯基实验室的恶意软件研究员Sergey Belov在着手调查妻子的私人笔记本电脑是否有软件类问题时,发现这一问题确实存在。电脑中有一个可疑程序引起了他的注意;一开始,他以为是找到了之前未知的隐匿进程,但结果发现这是一个合法进程,它是Absolute Computrace软件代理程序的一部分,而Absolute Computrace软件代理程序正是笔记本电脑常用的一种反盗窃解决方案。反盗窃跟踪软件的独特之处在于它在用户计算机中占用专属位置。其代理程序甚至在操作系统启动之前,就有一部分驻留在BIOS或UEFI中,BIOS或UEFI是能够在计算机启动时率先执行硬编码程序序列的芯片。这可帮助反盗窃跟踪软件不受”硬复位”乃至更换磁盘的影响。那么反盗窃跟踪软件最让人感到不安的是什么呢?Belov的妻子从未激活过该软件,也完全不知道该软件的存在。而进一步的分析更令人惊讶 - 恶意的第三方能够劫持反盗窃跟踪软件的代理程序,对受害者的计算机执行任何类型的远程入侵。反盗窃解决方案对于移动设备至关重要,因为窃贼青睐于偷取这类高价值的小型电子产品。反盗窃软件的设计工作并不轻松。软件必须极小且隐密,而且应该与某些总部服务器保持连接,以便在被盗后报告位置和采取行动。最后,反盗窃软件还必须能防止窃贼卸载软件。所有这些要求都意味着反盗窃软件要低调运行,并且必须对用户的设备具有很大的特权。但是如果这种强大的应用程序存在漏洞会怎样呢?更糟糕的情况是,黑客可以在你的计算机上为所欲为,完全控制你的计算机。
我所说的并非纸上谈兵。在上周举行的2014年安全分析专家峰会上,我亲眼目睹了卡巴斯基实验室的Vitaly Kamluk和Sergey Belov进行的实际演示。这两名研究员拆开新买的一台华硕笔记本电脑包装,执行了一组典型的首次运行进程,然后用另一台计算机远程激活这台笔记本电脑的摄像头,最终启动了远程擦除程序。擦除过程是这样的:通过拦截未加密的网络数据包,并向回发送一些数据,然后模拟与原反盗窃跟踪软件服务器的通信来完成擦除。
现在,您可能会感到立即检查笔记本电脑中是否存在反盗窃跟踪软件代理程序刻不容缓。如果您计划要强制删除该代理程序,那就不用麻烦了,因为这一过程难度太高。该代理程序会与移除尝试展开斗争,尽力拒绝成功移除,这是合情理的,因为它是防盗用途的软件。为了实现防盗目的,反盗窃跟踪软件的BIOS部分会在计算机每次启动时都检查该软件是否存在。如果找不到该软件,则会从BIOS将此小程序安装到Windows操作系统。Windows启动时,此程序会从互联网下载完整版反盗窃跟踪软件代理程序,并使其处于被激活状态。正如2014年SAS峰会上所演示的那样,这一特定步骤极易受到远程控制。
完整的分析内容可访问Securelist博客,也可查看反盗窃跟踪软件代理程序活动标志列表。卡巴斯基安全网络中的数据表明,我们有150,000名客户的计算机上装有处于激活状态的反盗窃跟踪软件代理程序。据Vitaly Kamluk估计,全球有200万台计算机上已装有处于激活状态的反盗窃跟踪软件代理程序。而我们并不知道其中有多少是用户自己主动激活的。
反盗窃跟踪软件的BIOS部分被预安装在最流行的BIOS/UEFI芯片上,而大多数笔记本电脑都装的是这种芯片,包括宏碁、华硕、索尼、东芝、惠普、联想、三星等品牌。但是,有些笔记本电脑可显示启用/关闭反盗窃跟踪软件的BIOS选项,而有些不显示。此外,并非所有主板上装有BIOS组件的计算机都会运行反盗窃跟踪软件,该软件在许多计算机上是被禁用的。但是卡巴斯基实验室的研究人员发现一些全新笔记本电脑在首次开箱运行时,反盗窃跟踪软件代理程序就处于活动状态。为什么在这些电脑上反盗窃跟踪代理程序会被激活,究竟是谁拥有相应的控制权仍是个迷。