L'analyse en anglais : http://www.securelist.com/en/analysis/2 ... _Revisited
Le Computrace est un Lojak, c'est à dire un programme qui permet de suivre un ordinateur (cela existe pour les véhicules) après qu'il ait été volé afin de le retrouver.
En d'autres termes, c'est un programme de tracking.
Voici une présentation du programme en 2007 : http://www.notebookreview.com/notebookr ... ty-review/
Depuis des constructeurs embarquent ce système par défaut :
Exemple avec Toshiba : http://www.toshiba.co.uk/innovation/generic/lojack/
ou Dell : http://www.dell.com/content/topics/segt ... l=en&s=dhs
ou Thinkpad depuis 2011 : http://www.mag-securs.com/Communiqu%C3% ... enovo.aspx
A priori tous les constructeurs embarquent ce logiciel (la liste des laptops est présente sur la page du blog Korben).
En 2009 des hackers avaient mis en lumière cette protection en la qualifiant de 'Rootkit Bios' : http://www.zdnet.com/blog/security/rese ... ptops/3828
Se reporter à la page de Corelabs (anglais) : http://corelabs.coresecurity.com/index. ... he_Rootkit (il y a des vidéo).
Exactement comme dans la dernière analyse de Kaspersky.
En effet le programme se loge au niveau du BIOS, de ce fait, il peux se charger tôt et très bas au niveau du système.
Côté système d'exploitation Windows, voici les fichiers concernés :
- %Windir%\system32\rpcnet.exe
- %Windir%\system32\rpcnetp.exe
- %Windir%\system32\wceprv.dll
- %Windir%\system32\identprv.dll
- %Windir%\system32\Upgrd.exe
- %Windir%\system32\autochk.exe.bak (FAT)
- %Windir%\system32\autochk.exe.bak (NTFS)
- %windir%\syswow64\instb64.exe et C:\windows\syswow64\instb32.exe
- %windir%\syswow64\pkgslv.exe
- %windir%\System32\wctsys.exe
- %windir%\SysWOW64\wctguard.exe
Le driver : https://www.virustotal.com/fr/file/8652 ... 400768414/
https://www.virustotal.com/fr/file/61ef ... /analysis/
Même une signature générique :
ou :ESET-NOD32 a variant of Win32/CompuTrace.B 20140522
https://www.virustotal.com/fr/file/6b5b ... 400686935/
https://www.virustotal.com/fr/file/5733 ... 400687463/
source : http://www.kernelmode.info/forum/viewto ... 803#p22960
Sujet de 2012 avec des détections :
http://www.malwareremoval.com/forum/vie ... 15#p612333
http://www.bleepingcomputer.com/forums/ ... try2774912
D:\Windows\System32\autochk.exe a variant of Win32/CompuTrace.B application
D'autre part, un outil est sorti pour tester si ce dernier est présent sur l'ordinateur et éventuellement le mettre hors jeu : http://sourceforge.net/projects/computr ... k-checker/
Seulement, si ce dernier est actif dans le BIOS, il peux se réinstaller sans problème.
Il existe aussi Computrace Detector qui permet de déterminer si celui-ci tourne sur son PC : http://forum.malekal.com/computrace-det ... 47905.html
En ce qui concerne Linux, il y a aussi ce script python (qui ne fonctionne pas chez moi) : http://corelabs.coresecurity.com/index. ... putrace.py
Le script est relativement ancien.
Dans l'article de Kaspersky, ce dernier s'alarme sur le fait que le programme présent sur le BIOS peux être détourné par des pirates pour contrôler les ordinateurs.
Cela est vrai pour la plupart des programmes installés sur l'ordinateur, le fait qu'il se loge bas et peux certainement bypasser la réinstallation de l'OS (effet de persistance) peux effectivement attirer les pirates.
On peux aussi s'alarmer qu'il n'existe pas beaucoup de documentations sur ce programme, mais en donner, donne aussi des armes aux voleurs pour bypasser le trackage.
D'ailleurs, il semblerait d'après cette news de 2011 qu'il existe bien des utilitaires pour le désactiver, et là c'est l'entreprise, cliente de Computrace, qui n'est pas contente : http://pro.01net.com/editorial/525126/d ... -securite/
Bien entendu, ce programme ne sera pas publié puisque ce serait pour Computrace tuer son bébé.
On ne sait pas non plus, si ce programme est détourné de son objectif par certaines autorisés, mais ça, on le saura jamais ;)
EDIT - septembre 2018
Ce mécanisme est utilisé par le premier Rootkit UEFI en liberté découvert par ESET.
Plu d'informations : Lojax : le premier rootkit UEFI.