Computrace Lojak : le mouchard sur laptop

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92354
Inscription : 10 sept. 2005 13:57
Contact :

Computrace Lojak : le mouchard sur laptop

Message par Malekal_morte » 22 mai 2014 08:39

Le blog Korben http://korben.info/computrace-lojack-absolute.html a repris une analyse de Kaspersky sur un mouchard qui se loge au niveau du BIOS.
L'analyse en anglais : http://www.securelist.com/en/analysis/2 ... _Revisited

Le Computrace est un Lojak, c'est à dire un programme qui permet de suivre un ordinateur (cela existe pour les véhicules) après qu'il ait été volé afin de le retrouver.
En d'autres termes, c'est un programme de tracking.

Voici une présentation du programme en 2007 : http://www.notebookreview.com/notebookr ... ty-review/

Depuis des constructeurs embarquent ce système par défaut :
Exemple avec Toshiba : http://www.toshiba.co.uk/innovation/generic/lojack/
ou Dell : http://www.dell.com/content/topics/segt ... l=en&s=dhs
ou Thinkpad depuis 2011 : http://www.mag-securs.com/Communiqu%C3% ... enovo.aspx
dell_computrace.jpg
Dell Computrace
toshiba_computrace.png
Toshiba Computrace
A priori tous les constructeurs embarquent ce logiciel (la liste des laptops est présente sur la page du blog Korben).
computrace_repartition.jpg
Computrace Répartition
computrace_repartition.jpg (72.78 Kio) Consulté 4349 fois
Computrace_constructeurs.png
Computrace Répartition constructeurs
En 2009 des hackers avaient mis en lumière cette protection en la qualifiant de 'Rootkit Bios' : http://www.zdnet.com/blog/security/rese ... ptops/3828
Se reporter à la page de Corelabs (anglais) : http://corelabs.coresecurity.com/index. ... he_Rootkit (il y a des vidéo).
Exactement comme dans la dernière analyse de Kaspersky.

En effet le programme se loge au niveau du BIOS, de ce fait, il peux se charger tôt et très bas au niveau du système.
Côté système d'exploitation Windows, voici les fichiers concernés :
  • %Windir%\system32\rpcnet.exe
  • %Windir%\system32\rpcnetp.exe
  • %Windir%\system32\wceprv.dll
  • %Windir%\system32\identprv.dll
  • %Windir%\system32\Upgrd.exe
  • %Windir%\system32\autochk.exe.bak (FAT)
  • %Windir%\system32\autochk.exe.bak (NTFS)
Non mentionné dans l'article mais d'après des recherches, les fichiers suivants sont aussi concernés :
  • %windir%\syswow64\instb64.exe et C:\windows\syswow64\instb32.exe
  • %windir%\syswow64\pkgslv.exe
  • %windir%\System32\wctsys.exe
  • %windir%\SysWOW64\wctguard.exe
Contrairement à ce qui est dit dans l'article, il y a des détections d'antivirus sur certains fichiers.
Le driver : https://www.virustotal.com/fr/file/8652 ... 400768414/
https://www.virustotal.com/fr/file/61ef ... /analysis/

Même une signature générique :
ESET-NOD32 a variant of Win32/CompuTrace.B 20140522
ou :
https://www.virustotal.com/fr/file/6b5b ... 400686935/
https://www.virustotal.com/fr/file/5733 ... 400687463/

source : http://www.kernelmode.info/forum/viewto ... 803#p22960


Sujet de 2012 avec des détections :
http://www.malwareremoval.com/forum/vie ... 15#p612333
http://www.bleepingcomputer.com/forums/ ... try2774912
D:\Windows\System32\autochk.exe a variant of Win32/CompuTrace.B application

D'autre part, un outil est sorti pour tester si ce dernier est présent sur l'ordinateur et éventuellement le mettre hors jeu : http://sourceforge.net/projects/computr ... k-checker/
Seulement, si ce dernier est actif dans le BIOS, il peux se réinstaller sans problème.
Il existe aussi Computrace Detector qui permet de déterminer si celui-ci tourne sur son PC : http://forum.malekal.com/computrace-det ... 47905.html

En ce qui concerne Linux, il y a aussi ce script python (qui ne fonctionne pas chez moi) : http://corelabs.coresecurity.com/index. ... putrace.py
Le script est relativement ancien.

Dans l'article de Kaspersky, ce dernier s'alarme sur le fait que le programme présent sur le BIOS peux être détourné par des pirates pour contrôler les ordinateurs.
Cela est vrai pour la plupart des programmes installés sur l'ordinateur, le fait qu'il se loge bas et peux certainement bypasser la réinstallation de l'OS (effet de persistance) peux effectivement attirer les pirates.

On peux aussi s'alarmer qu'il n'existe pas beaucoup de documentations sur ce programme, mais en donner, donne aussi des armes aux voleurs pour bypasser le trackage.
D'ailleurs, il semblerait d'après cette news de 2011 qu'il existe bien des utilitaires pour le désactiver, et là c'est l'entreprise, cliente de Computrace, qui n'est pas contente : http://pro.01net.com/editorial/525126/d ... -securite/
Bien entendu, ce programme ne sera pas publié puisque ce serait pour Computrace tuer son bébé.

On ne sait pas non plus, si ce programme est détourné de son objectif par certaines autorisés, mais ça, on le saura jamais ;)

EDIT - septembre 2018

Ce mécanisme est utilisé par le premier Rootkit UEFI en liberté découvert par ESET.
Plu d'informations : Lojax : le premier rootkit UEFI.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
nihat42
newbie expert
newbie expert
Messages : 57
Inscription : 19 janv. 2009 19:01

Re: Computrace Lojak : le mouchard sur laptop

Message par nihat42 » 22 mai 2014 10:19

Bonjour Malekal,

Certains disent que le mouchard a été installé volontairement : http://www.egaliteetreconciliation.fr/C ... 25484.html

Est ce que c'est plausible ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92354
Inscription : 10 sept. 2005 13:57
Contact :

Re: Computrace Lojak : le mouchard sur laptop

Message par Malekal_morte » 22 mai 2014 10:58

Ben oui il est installé volontairement, voir mon message... "Depuis des constructeurs embarquent ce système par défaut"
C'est un Lojak.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92354
Inscription : 10 sept. 2005 13:57
Contact :

Re: Computrace Lojak : le mouchard sur laptop

Message par Malekal_morte » 22 mai 2014 19:59

Edité pour ajouter Computrace Detector : computrace-detector-t47905.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

EricV
newbie expert
newbie expert
Messages : 65
Inscription : 07 déc. 2010 16:00

Re: Computrace Lojak : le mouchard sur laptop

Message par EricV » 01 juin 2014 04:33

excellent merci pour l'info


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 92354
Inscription : 10 sept. 2005 13:57
Contact :

Re: Computrace Lojak : le mouchard sur laptop

Message par Malekal_morte » 28 sept. 2018 14:30

Ce mécanisme est utilisé par le premier Rootkit UEFI en liberté découvert par ESET.
Plu d'informations : Lojax : le premier rootkit UEFI.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »