BIOS-ный троян от Absolute Software

По сути, его представляют не как троян, а как благо- поиск краденного... И если заручиться лояльностью антивирусных компаний, то отследить его простому обывателю будет непросто. С другой стороны, предлагая как коммерческий продукт, обязаны уведомить при покупке девайса какой-нить красивой наклейкой. Так получается...

То есть подменив в теле этой гадости адрес сервера (создав в безинтернетной локальной сети компьютер с нужным IP) и послав команду можно почистить винчестер - красиво, но опасно.
Пора заводить чёрный список ноутбуков не подходящих для покупки
И за что я люблю старые добрые десктопы? Наверное за то что их тяжело украсть и мусор в них не так часто встраивают.

Зачем так радикально? Вычистить эту дрянь не так сложно... дополнительная статья дохода появилась...))
А на счет черного списка - это около 60% новых лаптопов!

Пара технических поправок:
- Исходный AUTOCHK.EXE только на FAT сохраняется в AUTOCHK.BAK, на NTFS используется дополнительный файловый поток AUTOCHK.EXE:BAK. Оно и логично - создать новый поток в существующем файле на NTFS существенно проще, чем новый файл.
- Механизм с AUTOCHK.EXE используется только под NT-линейкой, для 9x/ME есть другой механизм - загрузчик сканирует msdos.sys на предмет строки WinBootDir={dir} и (если на диске из {dir} файловая система FAT) создаёт файл "{dir}\Start Menu\Programs\Startup\rpcnetp.exe", берущийся из тела инкапсулированного autochk.exe.

А как данная злодейская (ИМХО) софтина прореагирует на систему где в качестве загрузчика Windows 7 bootmgr и всего лишь файл vhd на чистом NTFS разделе?
Или на винчестер с двумя операционками Windows 9x/ME и к примеру Windows XP. Или на ту же Windows 98, но русскую?

Короче надо родной autochk.exe в Windows XP переименовать в scandisk.exe и переписать
в реестре
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute на autocheck scandisk *
На всякий случай

"Вычистить- понятно, как ее оперативно обнаружить без ковыряния прошивки?"
По наличию процесса rpcnet - я так понял он не скрытый и в Task Manager отображается...

самое интересное, заменив файло rpcnetp.exe, rpcnetp.dll и ещё несколько ему подобных (в папке с виндавозом) на какойто мусор, с аналогичным названием, служба вешает систему каждые 4 часа по расписанию. выносит мозг, придётся прошивать таки биос. хотя процесс не запускается и их биос руткит нервно курит в сторонке.

знал бы я об этом сабже раньше, может бы и удалось вернуть ноут знакомого, после того как его украли, я видел в биосе эту хрень, а сча он купил новый и там тоже эта штука в биосе была, так я сознательно её включил, правда потом каспер завякал, но я её в исключение сунул

То что вы сунули в исключения, это настоящий вирус. А наш БИОС троянчик такими сетями не поймаешь. Вы еще не догадываетесь, что ждет вас впереди. Когда ты не хозяин в своем доме, установленные программы безвозвратно кем-то удаляются. Все должно быть только лицензионное. Вообщем все говорят удалить его не сложно, но никто не говорит как.

Народ, помогите найти рецепт как все таки НАСОВСЕМ избавиться от этого rpcnet.exe? Кто его удалить из БИОСа? Где гиганты антивирусного фронта? Все молчат что-ли?

Это как бы документированная возможность и сколько еще неизвестных. С винды давно свалил, теперь пора по видимому сваливать
и с линуха, доберутся до него однозначно если уже не добрались

Официально обратился в Асус с просьбой помочь избавиться от этого модуля. Они культурно послали меня на ***.

securitylab.ru/news/402741.php

Вирусописатели под этот шумок computrace подстроятся. О личных ментах и говорить не следует.

Если спецслужбы майкрософт и макинтошников к ногтю приголубили, то такую дешевку как Absolute software и говорить не прийдется. Мегадыру раскачают по полной.

Сдуру активировал у себя, теперь чешу репу как это не то что убить, а как деактивировать.

А у меня эта хрень как-то самоудалилась спустя год...

Посмотрел список ноутов на сайте, в которых имеется эта штука, и не обнаружил свою модель Асус: absolute.com/en/partners/bios-compatibility.aspx Однако процесс rpcnetp.exe (служба) был отслежен Анвиром в момент прописки в автозагрузку и им же был благополучно убит. Далее в папке System32 найдены файлы rpcnetpdll, rpcnetp.exe и модернизированный руткитом autochk.exe и все удалены. В папке Windows\winsxs\ найден (поиском) чистый файл autochk.exe и скопирован в папку Windows ( НЕ System32 ! ). Далее с правами суперАдмина ( под обычным не получится удалить) открыл реестр и, найдя поиском строки rpcnetp и rpcnet (тоже были), удалил разделы полностью. В автозагрузку поместил батник контролирующий процесс (службу) rpcnetp.exe. После перезагрузки система благополучно нашла чистый файл autochk.exe в папке Windows (системная переменная Path), а руткит не смог его найти ( жестко запрограммирован на поиск в System32 ) и прекратил свою работу... Результат: Процесс rpcnetp.exe больше не появляется, реестр чист. Правда, не проверял проверку диска на ошибки, - может и не запустится. В моем случае, видимые процессы, лежащие на поверхности, - исчезли...не знаю, может что есть глубже... ОС Виста, год выпуска ноута 2009.

а есть чтото подобное только с открытым сходным кодом, я бы это в свой ноут встроил. а вообще желательно с гипервизором, чтобы вообще не палилось системой и работало под всеми осями.

Xen
ru.wikipedia.org/wiki/Xen

Бери и точи

Xen для этой темы мало подходит, так как хочется все это упаковать в ром биоса, в принцепе биос можно и заменить на более емкий чип, но все же придется кодить и кодить не мало, а так как я не обладаю знаниями в написании модулей для биоса, так это вообще растянется на вечность, готовый пример я то могу еще поправить, но почти с нуля, увы.

Хм, а что ж Вы хотели... "Все просто" даже в legacy-BIOS так и не стало доступно ВСЕМ...
С UEFI и т.п. что-то "более-менее" я прогнозирую года через 2-3. Типа теперешней работы с legacy AWARD/AMI, т.е. cbrom/amimm (т.е. довольно унивесальные вещи, лежащие на каждом углу). "Критическая масса" (после которой появляются технологии "для всех") в эту сторону нарастает стремительным домкратом, IMHO.