Sony-CD installiert Rootkit

02.11.2005, 00:54

Nachdem er seinen Rechner auf Rootkits checken ließ, war Mark Russinovich von sysinternals.com etwas verblüfft: obwohl er sorgfältig prüfe, was er installiert, fand das Programm eine Reihe versteckter Registryeinträge und Treiberverzeichnisse. Nach einiger aufwändiger Recherche fand er heraus, dass das vermeintliche Rootkit eine DRM - Applikation einer Sony - CD war, die er sich kürzlich gekauft hatte - und die, entgegen der Versprechungen der EULA, nicht leicht wieder zu deinstallieren war, sondern im Gegenteil nur durch eine Reihe von Tricks zu beseitigen war, in deren Verlauf man sich auch durchaus die CD - Laufwerke aus dem System schießen kann. Das Prozedere hat er ausführlich und anschaulich in seinem Blog dokumentiert.

Das Sony - DRM soll verhindern, dass man mehr als drei Kopien der CD anfertigen kann, und scannt zu diesem Zweck alle zwei Sekunden die laufenden .exe - Files durch: achtmal. Auch wenn man den Player beendet, bleibt das Programm im Hintergrund aktiv und frißt Systemressourcen. Russinovitch hatte kein Interesse daran, dass eine Applikation, die obendrein schlecht geschrieben war, permanent seinen Rechner belastet und löschte die - zuvor unter großem Aufwand erst sichtbar gemachten - Files und Registryeinträge von seinem Rechner. Dabei entdeckte er noch, dass sich die versteckten Treiber auch im abgesichterten Modus laden: Sony war ihr DRM offenbar wichtiger als das Interesse von Usern mit einem gecrashten System, ein nur mit den wichtigsten Treibern ausgestattetes OS booten zu können.

Nach dem Entfernen der Treiber und der Registryeinträge mußte Russinovich feststellen, dass seine CD-ROM - Laufwerke verschwunden waren: auch hier hatten sich getarnte Treiber installiert, die nun den Dienst verweigerten. Die nun nutzlosen Treiber ließen sich jedoch nicht einmal mehr löschen: erst über den Umweg des Local System Accounts waren die Treiber löschbar, und nach einem Reboot die Laufwerke wieder vorhanden.

Seine milde Zusammenfassung: Sony installiert Software, die in dieser Form in der Regel von Wurm- und Trojanerautoren verwendet wird, um ihre Präsenz auf dem Rechner zu verschleiern. Sie ist schlecht programmiert, frisst Systemressourcen und bietet keine Möglichkeit zur Deinstallation, obwohl dies von Sony in der EULA behauptet wird. Als gefährlichste Nebenwirkung betrachtet er die Möglichkeit, dass sich ein sicherheitsbewusster Anwender, der sein System regelmäßig auf Rootkits prüft, höchstwahrscheinlich das System zerschießt, wenn er versucht, die Malware zu entfernen. Und während er grundsätzlich DRM für eine verständliche Maßnahme hält und die beobachtete Sony - Lösung in diesem besonderen Fall für übertrieben und jenseits der "Balance" sieht, sind die Kommentare zu seiner Detektivarbeit eindeutiger: "It's lawsuit time, guys".

In der Tat ist die "Balance, von der Russinovitch spricht, kaum herzustellen. Entweder ein DRM tut, was es soll: dann muss es notwendigerweise dem User Rechte auf seinem System wegnehmen, mit welchen Mitteln auch immer, und wirksam unterbinden, dass der User sich diese wiederbeschaffen kann. Oder es tut dies nicht - dann sollte man sich den Aufwand von vorneherein sparen. In Anbetracht dessen, dasss Sony auf Wunsch Anleitungen verschickt, wie man ihr DRM umgeht, ist die zweite Möglichkeit eindeutig die sinnvollere.

unglaublich!

02.11.2005, 00:54	#1
schichtleiter Gast Beiträge: n/a	Sony-CD installiert Rootkit Nachdem er seinen Rechner auf Rootkits checken ließ, war Mark Russinovich von sysinternals.com etwas verblüfft: obwohl er sorgfältig prüfe, was er installiert, fand das Programm eine Reihe versteckter Registryeinträge und Treiberverzeichnisse. Nach einiger aufwändiger Recherche fand er heraus, dass das vermeintliche Rootkit eine DRM - Applikation einer Sony - CD war, die er sich kürzlich gekauft hatte - und die, entgegen der Versprechungen der EULA, nicht leicht wieder zu deinstallieren war, sondern im Gegenteil nur durch eine Reihe von Tricks zu beseitigen war, in deren Verlauf man sich auch durchaus die CD - Laufwerke aus dem System schießen kann. Das Prozedere hat er ausführlich und anschaulich in seinem Blog dokumentiert. Das Sony - DRM soll verhindern, dass man mehr als drei Kopien der CD anfertigen kann, und scannt zu diesem Zweck alle zwei Sekunden die laufenden .exe - Files durch: achtmal. Auch wenn man den Player beendet, bleibt das Programm im Hintergrund aktiv und frißt Systemressourcen. Russinovitch hatte kein Interesse daran, dass eine Applikation, die obendrein schlecht geschrieben war, permanent seinen Rechner belastet und löschte die - zuvor unter großem Aufwand erst sichtbar gemachten - Files und Registryeinträge von seinem Rechner. Dabei entdeckte er noch, dass sich die versteckten Treiber auch im abgesichterten Modus laden: Sony war ihr DRM offenbar wichtiger als das Interesse von Usern mit einem gecrashten System, ein nur mit den wichtigsten Treibern ausgestattetes OS booten zu können. Nach dem Entfernen der Treiber und der Registryeinträge mußte Russinovich feststellen, dass seine CD-ROM - Laufwerke verschwunden waren: auch hier hatten sich getarnte Treiber installiert, die nun den Dienst verweigerten. Die nun nutzlosen Treiber ließen sich jedoch nicht einmal mehr löschen: erst über den Umweg des Local System Accounts waren die Treiber löschbar, und nach einem Reboot die Laufwerke wieder vorhanden. Seine milde Zusammenfassung: Sony installiert Software, die in dieser Form in der Regel von Wurm- und Trojanerautoren verwendet wird, um ihre Präsenz auf dem Rechner zu verschleiern. Sie ist schlecht programmiert, frisst Systemressourcen und bietet keine Möglichkeit zur Deinstallation, obwohl dies von Sony in der EULA behauptet wird. Als gefährlichste Nebenwirkung betrachtet er die Möglichkeit, dass sich ein sicherheitsbewusster Anwender, der sein System regelmäßig auf Rootkits prüft, höchstwahrscheinlich das System zerschießt, wenn er versucht, die Malware zu entfernen. Und während er grundsätzlich DRM für eine verständliche Maßnahme hält und die beobachtete Sony - Lösung in diesem besonderen Fall für übertrieben und jenseits der "Balance" sieht, sind die Kommentare zu seiner Detektivarbeit eindeutiger: "It's lawsuit time, guys". In der Tat ist die "Balance, von der Russinovitch spricht, kaum herzustellen. Entweder ein DRM tut, was es soll: dann muss es notwendigerweise dem User Rechte auf seinem System wegnehmen, mit welchen Mitteln auch immer, und wirksam unterbinden, dass der User sich diese wiederbeschaffen kann. Oder es tut dies nicht - dann sollte man sich den Aufwand von vorneherein sparen. In Anbetracht dessen, dasss Sony auf Wunsch Anleitungen verschickt, wie man ihr DRM umgeht, ist die zweite Möglichkeit eindeutig die sinnvollere. unglaublich!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)