Худшие опасения исследователей безопасности оправдались, когда был обнаружен первый случай использования вируса, использующего руткит-технологию DRM, на некоторых компакт-дисках SonyBMG, защищенных от копирования.
Sophos сообщает, что троян, известный как Стинкс-Э использует руткит Sony DRM, чтобы стать невидимым с помощью файла $sys$drv.exe. Однако это не означает, что если у вас не установлено Sony DRM, вы застрахованы от заражения.
Руткит делает невидимыми все файлы, начинающиеся с «$sys$», и старший консультант Sophos по антивирусам Грэм Клули назвал это «особенно неприятным». Он сообщил нам, что антивирусное программное обеспечение обнаружит файл при первом запуске, если оно уже было обновлено для его обнаружения. Но устаревшее антивирусное программное обеспечение не обнаружит вирус на этом этапе, а после установки вируса вообще не сможет его увидеть.
Несмотря на то, что рассматриваемая Sony DRM доступна на компакт-дисках в США, их можно приобрести в Великобритании на таких сайтах, как Amazon. Любопытно, что троянец, судя по всему, нацелен именно на Великобританию. Клули сказал, что исследовательские центры Sophos по всему миру знали о новом троянце, но еще не сталкивались с ним.
«Этот материал имеет своеобразную британскую точку зрения: он притворяется, что исходит от организации под названием Total Business Monthly, и ссылается на сайт totalbusiness.co.uk», — сказал он.
Он сказал, что, хотя троянец, судя по всему, широко распространен, компания Sophos до сих пор не получала никаких сообщений о заражении. «У нас были сообщения от нескольких крупных компаний, которые заразились вирусом, но, к счастью, похоже, у них хватило здравого смысла поместить его в карантин».
Троянец приходит по электронной почте с вложенными файлами с такими именами, как Article+Photos.exe, темой типа «Требуется одобрение фотографии» и следующим сообщением:
'Привет,
Ваша фотография была отправлена нам как часть статьи, которую мы публикуем в декабрьском выпуске Total Business Monthly. Можете ли вы проверить формат и сообщить нам о своем одобрении или любых изменениях? Если фотография вам не понравилась, пришлите понравившуюся. Фото к статье мы прикрепили здесь.
С уважением,
Джейми Эндрюс
редактор
www. TotalBusiness.co.uk
**********************************************
Институт профессионального развития
**********************************************’
Если получатель откроет вложение, троянец попытается скопировать файл $sys$drv.exe на жесткий диск, где руткит Sony, если таковой имеется, сделает его невидимым. Троянец открывает бэкдор на компьютере, позволяющий удаленно управлять им через IRC-каналы. Бэкдор позволяет злоумышленнику удалять, выполнять и загружать файлы на целевом компьютере. Он также пытается обойти брандмауэр Windows.
Технология DRM, которую использует троянец, включена в ряд компакт-дисков SonyBMG и впервые была обнаружена ИТ-исследователями, когда она появилась на компьютере. которое было проверено на наличие руткитов – формы вредоносного ПО, которое напрямую взаимодействует с операционными системами на низком уровне и невидимо для Windows и, следовательно, для других программы.
Дальнейшие исследования показали, что любой файл, начинающийся с «$sys$», также будет скрыт руткитом Sony, используемым для сокрытия технологии DRM.
Компания, разработавшая технологию для Sony, с тех пор обновила свое программное обеспечение и удалила элемент руткита, но для того, чтобы это обновление попало на продаваемые компакт-диски, может потребоваться некоторое время. Компания также выпустила исправления для антивирусных компаний, но, опять же, это зависит от того, будут ли конечные пользователи обновлять свое программное обеспечение.
