Software-ul DRM inclus pe unele CD-uri Sony include un utilitar de monitorizare greu de descoperit, aproape imposibil de îndepărtat și oferă o ascunzătoare ușoară pentru codurile rău intenționate.
Mark Russinovici, scriind pe blogul Sysinternals, detaliază modul în care a descoperit codul rootkit pe computerul său, care provine de la un CD muzical Sony pe care îl deținea.
Un rootkit se instalează în sistemele Windows în așa fel încât îi spune sistemului de operare să-și accepte orbește activitățile. Ca atare, orice fișiere conținute în rootkit rămân invizibile din Windows. Rootkit-urile sunt din ce în ce mai frecvent folosite de scriitorii de viruși pentru a ascunde activitățile codului lor și acum, se pare, și de marii editori de muzică.
Odată ce un CD protejat de DRM Sony este redat pe un computer, utilizatorului îi este prezentat un Acord de licență pentru utilizatorul final care definește termenii de utilizare ai CD-ului și trebuie acceptat. Dar nu reușește să includă detalii despre rootkit, iar instalarea acestui cod care apare ulterior are loc fără permisiunea utilizatorului.
„Nu am găsit nicio referință la acesta în lista de Adăugare sau eliminare programe a panoului de control și nici nu am găsit vreo utilitate sau instrucțiuni de dezinstalare pe CD sau pe site-ul [furnizorului de software]. Am verificat EULA și nu am văzut nicio mențiune despre faptul că am fost de acord să pun software-ul pe care nu l-am putut dezinstala. Acum eram supărat”, scrie Russinovici.
Scăparea de rootkit s-a dovedit aproape imposibilă și a cauzat alte probleme, potrivit Russinovich. „Când m-am conectat din nou, am descoperit că unitatea CD lipsește din Explorer. Ștergerea driverelor a dezactivat CD-ul. Acum eram cu adevărat supărat.’
„Nu numai că Sony a pus pe sistemul meu un software care folosește tehnici utilizate în mod obișnuit de malware pentru a-și masca prezența, dar și software-ul este prost scris și nu oferă mijloace de dezinstalare. Mai rău, majoritatea utilizatorilor care dau peste fișierele acoperite cu o scanare RKR își vor paraliza computerul dacă încearcă să facă pasul evident de ștergere a fișierelor acoperite”, a concluzionat el.
Dar compania finlandeză de securitate F-Secure a avertizat că codul scris prost creează o casă sigură pentru software-ul rău intenționat. În investigația sa, Russinovici a observat că „codul de acoperire” al rootkit-ului ascunde orice fișier, director, cheie de registry sau proces al cărui nume începe cu „$sys$”. Pentru a verifica că am făcut o copie a Notepad.exe numită $sys$notepad.exe și a dispărut din vedere.”
F-Secure a testat acest lucru și a confirmat afirmația. „Sistemul este implementat într-un mod care face posibil ca virușii (sau orice alt program rău intenționat) să folosească rootkit-ul pentru a se ascunde. Acest lucru poate duce la o situație în care virusul rămâne nedetectat chiar dacă utilizatorul are instalat un software antivirus actualizat”, a declarat Mikko Hyppönen, Chief Research Officer.
F-Secure oferă detectarea rootkit-urilor sub formă de Blacklight beta, disponibilă de la sa site-ul web.
Sony a pus la dispoziție instrucțiuni despre cum elimina codul, dar încă nu a răspuns solicitărilor noastre de comentarii.
