Rootkit w notebookach Lenovo

Liczba wyświetleń: 697

Jeden z użytkowników notebooka Lenovo odkrył, że jego producent zainstalował w nim rootkita. Zadaniem ukrytego kodu jest upewnienie się, że na notebooku zawsze będzie zainstalowane dodatkowe oprogramowanie Lenovo. Nawet jeśli wyczyścimy komputer i przeinstalujemy Windows, rootkit pobierze i zainstaluje oprogramowanie Lenovo.

Lenovo wyjaśnia, że program Lenovo Service Engine pobiera program o nazwie OneKey Optimizer, który jest „potężnym narzędziem przyszłej generacji optymalizującym system”. Jego zadaniem jest aktualizacja firmware’u, sterowników oraz preinstalowanych aplikacji. OneKey Optimizer kontaktuje się z serwerami Lenovo, ale, jak zapewnia firma, nie wysyła żadnych danych pozwalających na zidentyfikowanie użytkownika.

Lenovo mogło zainstalować rootkita, gdyż Microsoft pozwala producentom komputerów na załadowanie do BIOS-u pliku EXE podczas startu systemu. Odpowiada za to technologia o nazwie Windows Platform Binary Table (WPBT), która uruchamia taki plik przed zalogowaniem się użytkownika do systemu. WPBT nie można wyłączyć. Głównym celem WPBT jest automatyczna instalacja oprogramowania zabezpieczającego przed kradzieżą. Może ono np. kontaktować się co jakiś czas z odpowiednim serwerem i sprawdzać, czy zgłoszono kradzież komputera. Jeśli tak, zostanie on trwale unieruchomiony. Lenovo korzysta z tej technologii w komputerach z Windows 8. W maszynach z Windows 7 firma nadpisuje plik autochk.exe i w ten sposób pobiera aktualizacje.

Jakby tego było mało, okazało się, że Lenovo Service Engine zawierało dziurę pozwalającą cyberprzestępcom na zainstalowanie szkodliwego kodu na komputerze ofiary. Lenovo opublikowało poprawkę, jednak trzeba zainstalować ją ręcznie, co oznacza, że prawdopodobnie większość użytkowników jest nadal narażonych na atak.

Użytkownicy mogą sprawdzić, czy w ich notebooku znajduje się rootkit Lenovo. W przypadku maszyn z systemami Windows 8/8.1/10 należy w logowaniu zdarzeń sprawdzić wpis dla „Microsoft-Windows-Subsys-SMSS” i jeśli znajduje się tam wpis: „A platform binary was successfully executed”, mamy rootkita. Alternatywnie możemy zajrzeć do katalogu c:windowssystem32. Jeśli w maszynie zainstalowano rootkita, w katalogu będzie plik wpbbin.exe. Użytkownicy Windows 7 mogą zaś zalogować się jako administrator z sesją konsoli i w linii poleceń wpisać sfc /VERIFYFILE=c:windowssystem32autochk.exe. Jeśli wystąpi błąd i/lub data nie zgadza się z datą instalacji systemu, rootkit jest obecny. Alternatywnie można użyć komendy /sfc /VERIFYONLY i dalej postępować według instrukcji.

Autorstwo: Mariusz Błoński
Na podstawie: myce.com
Źródło: KopalniaWiedzy.pl

TAGI: Komputer, Lenovo, Wirus komputerowy

Poznaj plan rządu!

OD ADMINISTRATORA PORTALU

Hej! Cieszę się, że odwiedziłeś naszą stronę! Naprawdę! Jeśli zależy Ci na dalszym rozpowszechnianiu niezależnych informacji, ujawnianiu tego co przemilczane, niewygodne lub ukrywane, możesz dołożyć swoją cegiełkę i wesprzeć "Wolne Media" finansowo. Darowizna jest też pewną formą „pozytywnej energii” – podziękowaniem za wiedzę, którą tutaj zdobywasz. Media obywatelskie, jak nasz portal, nie mają dochodów z prenumerat ani nie są sponsorowane przez bogate korporacje by realizowały ich ukryte cele. Musimy radzić sobie sami. Jak możesz pomóc? Dowiesz się TUTAJ. Z góry dziękuję za wsparcie i nieobojętność!

Poglądy wyrażane przez autorów i komentujących użytkowników są ich prywatnymi poglądami i nie muszą odzwierciedlać poglądów administracji "Wolnych Mediów". Jeżeli materiał narusza Twoje prawa autorskie, przeczytaj informacje dostępne tutaj, a następnie (jeśli wciąż tak uważasz) skontaktuj się z nami! Jeśli artykuł lub komentarz łamie prawo lub regulamin, powiadom nas o tym formularzem kontaktowym.