torsdag 9 december 2010

Är rpcnet.exe en trojan eller något allvarligare

En vän ringer mig om ett virusalarm.  Beskedet från antivirusprogrammet AVG är att programmet rpcnetp.exe är smittat med en trojan med namnet "win32/agent.br". Första frågan från AVG är om programmet ska placeras i Vault och sedan kommer frågan om rpcnetp.exe ska raderas. Vad göra?

Standardåtgärden är att säga jag till placeringen i Vault. Sedan gäller det att googla på rpcnet.exe och se vilken funktion det har. Det visade sig inte vara så lätt. Beskeden varierar. Åtgärden blir till slut att ta bort programmet och göra en fullständig scan av datorn och därefter stänga av den. Sedan får hela datorn scannas igen när den startas.

Kollar sedan min egen dator och i den finns det inget program med namnet rcpnetp.exe.

Men så till frågan; vad är rpcnetp.exe för program och vad gör trojanen?

AVGs Virus Encyclopedia har inga uppgifter om "win32/agent.br". Symantic gissar på en gammal trojan från 2005 med namnet Backdoor.Tjserv.B, som inte är så spritt och dessutom bara är medelfarligt. En snabb genomgång av några mindre antivirusprogram ger helt olika besked. Threatexpert tror det handlar om "Trojan-PWS.Agent.BR" och skriver "attempts to steal sensitive identifiable data, such as usernames, passwords and bank accounts, from your computer, and sends them to a remote server via HTTP."

Enligt austinlaptop är rpcnetp.exe och rpcnetp.dll ingen trojan utan ett program från Absolut Software, som många antivirusprogram uppfattar som en trojan. rpcnet är ett sk LoJack-program. Hur det går till förklarar företaget på sin webb.

Det verkar alltså som om Absolut Software håller reda på vad användarnas datorer är - även om de inte är stulna! Vet alla användare om det? Och är det lagligt om användaren inte är medveten om det?

Det vanliga är tydligen att Absolut Softwares programvara bakas in in BIOS och är därför omöjligt - eller i vart fall svårt - att ta bort. Här är uppgift om vilka datorer som övervakas.


(Texten är under utveckling.)

Inga kommentarer:

Skicka en kommentar