Perangkat lunak DRM yang disertakan pada beberapa CD Sony menyertakan utilitas pemantauan yang sulit ditemukan, hampir tidak mungkin dihapus, dan menawarkan tempat persembunyian yang mudah untuk kode berbahaya.
Mark Russinovich, menulis di blog Sysinternals, merinci bagaimana dia menemukan kode rootkit di komputernya yang berasal dari CD musik Sony miliknya.
Rootkit menginstal dirinya sendiri di sistem Windows sedemikian rupa sehingga memberitahu sistem operasi untuk menerima aktivitasnya secara membabi buta. Dengan demikian, file apa pun yang terdapat dalam rootkit tetap tidak terlihat dari dalam Windows. Rootkit semakin umum digunakan oleh pembuat virus untuk menyembunyikan aktivitas kode mereka dan sekarang, tampaknya, juga digunakan oleh penerbit musik besar.
Setelah CD yang dilindungi oleh DRM Sony diputar di PC, Perjanjian Lisensi Pengguna Akhir diberikan kepada pengguna yang menjelaskan ketentuan penggunaan CD dan harus diterima. Namun gagal menyertakan rincian rootkit, dan pemasangan kode ini yang kemudian terjadi terjadi tanpa izin pengguna.
'Saya tidak menemukan referensi apa pun tentangnya di daftar Tambah atau Hapus Program di Panel Kontrol, saya juga tidak menemukan utilitas uninstall atau petunjuk apa pun di CD atau di situs [vendor perangkat lunak]. Saya memeriksa EULA dan tidak menemukan fakta bahwa saya setuju untuk memasang perangkat lunak di sistem saya yang tidak dapat saya hapus. Sekarang saya gila,’ tulis Russinovich.
Menyingkirkan rootkit terbukti hampir mustahil dan menyebabkan masalah lebih lanjut, menurut Russinovich. 'Ketika saya masuk lagi, saya menemukan bahwa drive CD dari Explorer hilang. Menghapus driver telah menonaktifkan CD. Sekarang saya benar-benar marah.”
“Sony tidak hanya memasang perangkat lunak di sistem saya yang menggunakan teknik yang biasa digunakan oleh malware untuk menutupi keberadaannya, perangkat lunak tersebut juga ditulis dengan buruk dan tidak menyediakan cara untuk menghapus instalannya. Lebih buruk lagi, sebagian besar pengguna yang menemukan file terselubung dengan pemindaian RKR akan melumpuhkan komputer mereka jika mereka mencoba langkah nyata untuk menghapus file terselubung,’ simpulnya.
Namun perusahaan keamanan Finlandia F-Secure memperingatkan bahwa kode yang ditulis dengan buruk akan menciptakan rumah aman bagi perangkat lunak berbahaya. Dalam penyelidikannya, Russinovich memperhatikan bahwa 'kode penyelubungan rootkit menyembunyikan file, direktori, kunci Registri, atau proses apa pun yang namanya dimulai dengan “$sys$”. Untuk memverifikasi bahwa saya membuat salinan Notepad.exe bernama $sys$notepad.exe dan menghilang dari pandangan.'
F-Secure mengujinya dan mengonfirmasi klaim tersebut. 'Sistem ini diterapkan sedemikian rupa sehingga memungkinkan virus (atau program jahat lainnya) menggunakan rootkit untuk menyembunyikan dirinya juga. Hal ini dapat mengakibatkan virus tetap tidak terdeteksi meskipun pengguna telah memperbarui perangkat lunak antivirus yang diinstal,’ kata Mikko Hyppönen, Chief Research Officer.
F-Secure menawarkan deteksi rootkit dalam bentuk Blacklight beta, tersedia darinya situs web.
Sony telah menyediakan instruksi tentang cara melakukannya hapus kodenya, tetapi belum menanggapi permintaan komentar kami.
