【日常工作所需，零锁整理二】关于Absolute公司防盗追踪软件会向境外传输不明数据等安全风险：撰写了批处理脚本

背景：

5月30日，互联网上曝出Absolute公司的防盗追踪软件存在安全风险，该软件会向境外传输不明数据、监控用户行为、下载安装不明程序，为规避该软件带来的安全风险，我们将在网络层统一屏蔽该软件使用的域名，个人用户可参考附件中的解决方案自行处理，详情如下：

• 漏洞名称

   关于Absolute公司防盗追踪软件会向境外传输不明数据等安全风险

• 漏洞等级

   紧急

• 漏洞描述

   有研究人员发现其计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace，在计算机启动后，操作系统会静默安装该软件并向境外传输不明数据。该软件还可从计算机中远程获取用户文件，监控用户行为以及在未授权情况下下载安装不明程序。该软件预置在多款型号的计算机BIOS芯片中，Computrace软件提供可用于远程控制的网络协议，无任何加密措施或认证就可以被远程服务器控制，该功能随开机启动，常驻用户计算机，有较大的安全风险。

• 受影响主机

   目前包括联想、戴尔、苹果、微软、惠普、富士、东芝、松下、三星、华硕、宏基等厂商部分便携式计算机、台式机、工作站均受影响。

• 解决方案

   1、我们将在网络层统一屏蔽该软件使用的域名来达到规避风险的效果，个人用户可参考附件中的解决方案自行处理；

   2、双击运行附件中的.reg文件可删除启动项，防止软件启动。

 

• 参考资料

   http://blog.nsfocus.net/security-risk-absolutes-anti-theft-tracking-software

• wiki链接

   http://docs.dc.servyou-it.com/pages/viewpage.action?pageId=2378122 

 

批处理脚本： 

为方便大家修复，我写了个批处理，保存附件到桌面后，右键选择“以管理员身份运行”，看到“修改完成”就可以了（注意：只需运行一次，不然会多次写入），截图如下：

@echo off  
echo Absolute漏洞修复程序
@echo     by: 京斗码农
@echo     update: 2019/6/3
@echo.
@echo y | cacls "C:\Windows\System32\drivers\etc\hosts" /e /p everyone:w >nul
@echo 127.0.0.1  search.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1  search2.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1  search64.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1  search.us.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1  bh.namequery.com >> C:\Windows\System32\drivers\etc\hosts
@echo 127.0.0.1  namequery.nettrace.co.za >> C:\Windows\System32\drivers\etc\hosts  
@echo 127.0.0.1  m229.absolute.com >> C:\Windows\System32\drivers\etc\hosts      
@echo 修复完成，按任意键退出~
@pause > nul
@echo on

仅供参考。