Rootkit w notebookach Lenovo

Opublikowano: 14.08.2015 | Kategorie: Telekomunikacja i komputery, Wiadomości ze świata

Liczba wyświetleń: 575

Jeden z użytkowników notebooka Lenovo odkrył, że jego producent zainstalował w nim rootkita. Zadaniem ukrytego kodu jest upewnienie się, że na notebooku zawsze będzie zainstalowane dodatkowe oprogramowanie Lenovo. Nawet jeśli wyczyścimy komputer i przeinstalujemy Windows, rootkit pobierze i zainstaluje oprogramowanie Lenovo.

Lenovo wyjaśnia, że program Lenovo Service Engine pobiera program o nazwie OneKey Optimizer, który jest “potężnym narzędziem przyszłej generacji optymalizującym system”. Jego zadaniem jest aktualizacja firmware’u, sterowników oraz preinstalowanych aplikacji. OneKey Optimizer kontaktuje się z serwerami Lenovo, ale, jak zapewnia firma, nie wysyła żadnych danych pozwalających na zidentyfikowanie użytkownika.

Lenovo mogło zainstalować rootkita, gdyż Microsoft pozwala producentom komputerów na załadowanie do BIOS-u pliku EXE podczas startu systemu. Odpowiada za to technologia o nazwie Windows Platform Binary Table (WPBT), która uruchamia taki plik przed zalogowaniem się użytkownika do systemu. WPBT nie można wyłączyć. Głównym celem WPBT jest automatyczna instalacja oprogramowania zabezpieczającego przed kradzieżą. Może ono np. kontaktować się co jakiś czas z odpowiednim serwerem i sprawdzać, czy zgłoszono kradzież komputera. Jeśli tak, zostanie on trwale unieruchomiony. Lenovo korzysta z tej technologii w komputerach z Windows 8. W maszynach z Windows 7 firma nadpisuje plik autochk.exe i w ten sposób pobiera aktualizacje.

Jakby tego było mało, okazało się, że Lenovo Service Engine zawierało dziurę pozwalającą cyberprzestępcom na zainstalowanie szkodliwego kodu na komputerze ofiary. Lenovo opublikowało poprawkę, jednak trzeba zainstalować ją ręcznie, co oznacza, że prawdopodobnie większość użytkowników jest nadal narażonych na atak.

Użytkownicy mogą sprawdzić, czy w ich notebooku znajduje się rootkit Lenovo. W przypadku maszyn z systemami Windows 8/8.1/10 należy w logowaniu zdarzeń sprawdzić wpis dla “Microsoft-Windows-Subsys-SMSS” i jeśli znajduje się tam wpis: “A platform binary was successfully executed”, mamy rootkita. Alternatywnie możemy zajrzeć do katalogu c:windowssystem32. Jeśli w maszynie zainstalowano rootkita, w katalogu będzie plik wpbbin.exe. Użytkownicy Windows 7 mogą zaś zalogować się jako administrator z sesją konsoli i w linii poleceń wpisać sfc /VERIFYFILE=c:windowssystem32autochk.exe. Jeśli wystąpi błąd i/lub data nie zgadza się z datą instalacji systemu, rootkit jest obecny. Alternatywnie można użyć komendy /sfc /VERIFYONLY i dalej postępować według instrukcji.

Autorstwo: Mariusz Błoński
Na podstawie: myce.com
Źródło: KopalniaWiedzy.pl


TAGI: , ,

Poznaj plan rządu!

OD ADMINISTRATORA PORTALU

Hej! Cieszę się, że odwiedziłeś naszą stronę! Naprawdę! Jeśli zależy Ci na dalszym rozpowszechnianiu niezależnych informacji, ujawnianiu tego co przemilczane, niewygodne lub ukrywane, możesz dołożyć swoją cegiełkę i wesprzeć "Wolne Media" finansowo. Darowizna jest też pewną formą „pozytywnej energii” – podziękowaniem za wiedzę, którą tutaj zdobywasz. Media obywatelskie, jak nasz portal, nie mają dochodów z prenumerat ani nie są sponsorowane przez bogate korporacje by realizowały ich ukryte cele. Musimy radzić sobie sami. Jak możesz pomóc? Dowiesz się TUTAJ. Z góry dziękuję za wsparcie i nieobojętność!

Poglądy wyrażane przez autorów i komentujących użytkowników są ich prywatnymi poglądami i nie muszą odzwierciedlać poglądów administracji "Wolnych Mediów". Jeżeli materiał narusza Twoje prawa autorskie, przeczytaj informacje dostępne tutaj, a następnie (jeśli wciąż tak uważasz) skontaktuj się z nami! Jeśli artykuł lub komentarz łamie prawo lub regulamin, powiadom nas o tym formularzem kontaktowym.

4 komentarze

  1. Komzar 14.08.2015 10:21

    Ciekawe jak radzi sobie taki rootkit jak na komputerze jest tylko linux?

  2. mgmg 14.08.2015 12:29

    Widzę, że przeczytałeś ale nie zrozumiałeś.
    I żeby nie produkować postów od razu napiszę że jest napisane że ten exe uruchamia system Windows przed zalogowaniem użytkownika. Jak niema Windowsa to go nic nie uruchamia.

  3. Murphy 14.08.2015 12:51

    A ja się zastanawiam, czy można coś swojego wgrać na miejsce tego rootkita?

  4. Komzar 14.08.2015 23:57

    Przeczytałem i zrozumiałem ale to nie oznacza, że nie może uruchomić innego pliku dla innego systemu operacyjnego. Stąd moje pytanie.

Dodaj komentarz

Zaloguj się aby dodać komentarz.
Jeśli już się logowałeś - odśwież stronę.