Computrace Lojak : le mouchard sur laptop

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 108237
Inscription : 10 sept. 2005 13:57

Computrace Lojak : le mouchard sur laptop

par Malekal_morte »

Le blog Korben http://korben.info/computrace-lojack-absolute.html a repris une analyse de Kaspersky sur un mouchard qui se loge au niveau du BIOS.
L'analyse en anglais : http://www.securelist.com/en/analysis/2 ... _Revisited

Le Computrace est un Lojak, c'est à dire un programme qui permet de suivre un ordinateur (cela existe pour les véhicules) après qu'il ait été volé afin de le retrouver.
En d'autres termes, c'est un programme de tracking.

Voici une présentation du programme en 2007 : http://www.notebookreview.com/notebookr ... ty-review/

Depuis des constructeurs embarquent ce système par défaut :
Exemple avec Toshiba : http://www.toshiba.co.uk/innovation/generic/lojack/
ou Dell : http://www.dell.com/content/topics/segt ... l=en&s=dhs
ou Thinkpad depuis 2011 : http://www.mag-securs.com/Communiqu%C3% ... enovo.aspx
dell_computrace.jpg
toshiba_computrace.png
A priori tous les constructeurs embarquent ce logiciel (la liste des laptops est présente sur la page du blog Korben).
computrace_repartition.jpg
Computrace_constructeurs.png
En 2009 des hackers avaient mis en lumière cette protection en la qualifiant de 'Rootkit Bios' : http://www.zdnet.com/blog/security/rese ... ptops/3828
Se reporter à la page de Corelabs (anglais) : http://corelabs.coresecurity.com/index. ... he_Rootkit (il y a des vidéo).
Exactement comme dans la dernière analyse de Kaspersky.

En effet le programme se loge au niveau du BIOS, de ce fait, il peux se charger tôt et très bas au niveau du système.
Côté système d'exploitation Windows, voici les fichiers concernés :
  • %Windir%\system32\rpcnet.exe
  • %Windir%\system32\rpcnetp.exe
  • %Windir%\system32\wceprv.dll
  • %Windir%\system32\identprv.dll
  • %Windir%\system32\Upgrd.exe
  • %Windir%\system32\autochk.exe.bak (FAT)
  • %Windir%\system32\autochk.exe.bak (NTFS)
Non mentionné dans l'article mais d'après des recherches, les fichiers suivants sont aussi concernés :
  • %windir%\syswow64\instb64.exe et C:\windows\syswow64\instb32.exe
  • %windir%\syswow64\pkgslv.exe
  • %windir%\System32\wctsys.exe
  • %windir%\SysWOW64\wctguard.exe
Contrairement à ce qui est dit dans l'article, il y a des détections d'antivirus sur certains fichiers.
Le driver : https://www.virustotal.com/fr/file/8652 ... 400768414/
https://www.virustotal.com/fr/file/61ef ... /analysis/

Même une signature générique :
ESET-NOD32 a variant of Win32/CompuTrace.B 20140522
ou :
https://www.virustotal.com/fr/file/6b5b ... 400686935/
https://www.virustotal.com/fr/file/5733 ... 400687463/

source : http://www.kernelmode.info/forum/viewto ... 803#p22960


Sujet de 2012 avec des détections :
http://www.malwareremoval.com/forum/vie ... 15#p612333
http://www.bleepingcomputer.com/forums/ ... try2774912
D:\Windows\System32\autochk.exe a variant of Win32/CompuTrace.B application

D'autre part, un outil est sorti pour tester si ce dernier est présent sur l'ordinateur et éventuellement le mettre hors jeu : http://sourceforge.net/projects/computr ... k-checker/
Seulement, si ce dernier est actif dans le BIOS, il peux se réinstaller sans problème.
Il existe aussi Computrace Detector qui permet de déterminer si celui-ci tourne sur son PC : http://forum.malekal.com/computrace-det ... 47905.html

En ce qui concerne Linux, il y a aussi ce script python (qui ne fonctionne pas chez moi) : http://corelabs.coresecurity.com/index. ... putrace.py
Le script est relativement ancien.

Dans l'article de Kaspersky, ce dernier s'alarme sur le fait que le programme présent sur le BIOS peux être détourné par des pirates pour contrôler les ordinateurs.
Cela est vrai pour la plupart des programmes installés sur l'ordinateur, le fait qu'il se loge bas et peux certainement bypasser la réinstallation de l'OS (effet de persistance) peux effectivement attirer les pirates.

On peux aussi s'alarmer qu'il n'existe pas beaucoup de documentations sur ce programme, mais en donner, donne aussi des armes aux voleurs pour bypasser le trackage.
D'ailleurs, il semblerait d'après cette news de 2011 qu'il existe bien des utilitaires pour le désactiver, et là c'est l'entreprise, cliente de Computrace, qui n'est pas contente : http://pro.01net.com/editorial/525126/d ... -securite/
Bien entendu, ce programme ne sera pas publié puisque ce serait pour Computrace tuer son bébé.

On ne sait pas non plus, si ce programme est détourné de son objectif par certaines autorisés, mais ça, on le saura jamais ;)

EDIT - septembre 2018

Ce mécanisme est utilisé par le premier Rootkit UEFI en liberté découvert par ESET.
Plu d'informations : Lojax : le premier rootkit UEFI.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
nihat42

Re: Computrace Lojak : le mouchard sur laptop

par nihat42 »

Bonjour Malekal,

Certains disent que le mouchard a été installé volontairement : http://www.egaliteetreconciliation.fr/C ... 25484.html

Est ce que c'est plausible ?
Malekal_morte
Messages : 108237
Inscription : 10 sept. 2005 13:57

Re: Computrace Lojak : le mouchard sur laptop

par Malekal_morte »

Ben oui il est installé volontairement, voir mon message... "Depuis des constructeurs embarquent ce système par défaut"
C'est un Lojak.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 108237
Inscription : 10 sept. 2005 13:57

Re: Computrace Lojak : le mouchard sur laptop

par Malekal_morte »

Edité pour ajouter Computrace Detector : http://forum.malekal.com/computrace-det ... 47905.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
EricV

Re: Computrace Lojak : le mouchard sur laptop

par EricV »

excellent merci pour l'info
Malekal_morte
Messages : 108237
Inscription : 10 sept. 2005 13:57

Re: Computrace Lojak : le mouchard sur laptop

par Malekal_morte »

Ce mécanisme est utilisé par le premier Rootkit UEFI en liberté découvert par ESET.
Plu d'informations : Lojax : le premier rootkit UEFI.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Actualité & News Informatique »