![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
iskatelРекомендовано к прочтению всем. Если вам, конечно, не пофиг, что крутится на вашем компе.
Оригинал статьи - http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
Обсуждение (толковое) - http://www.livejournal.com/users/olegart/640664.html
Краткие выводы, с моей точки зрения.
- Не ставьте левые плееры и вообще левые проги. Руткиты не всемогущи, а вот кривые руки творят чудеса.
- Степень червеизации постоянно растет. Следует ждать еще более активных червей от борцов за право обирать всех слушающих и смотрящих граждан.
- Сони есть преступники и пираты, после таких случаев (а это далеко не первый) говорить про их 'аффтарские права' смешно.
- Вполне возможно, что в следующей версии Винды такие руткиты будут встроены, МС этого явно не хочет (ибо люди могут проголосовать рублем), но давление на них растет. Если встроить такие штуки по-серьезному, удалить их без повреждения ОС будет очень трудно. Если это произойдет, то, возможно, Пингвиникс или БСД на домашнем компе будут единственными нормальными ОС.
Вывод - тем, кто пока что не на 'ты' c пингвиниксом или БСД, стоит это поправить.
выдержки оттуда (писал не я) -
Как-то раз Марк Руссинович (Mark Russinovich), автор множества полезных системных утилит для Windows, отлаживал свою очередную программу RootkitRevealer, занимающуюся поиском закладок (или руткитов, rootkits). Под закладками в данном случае понимаются любые вредоносные программы, помимо прочего всячески скрывающие свое присутствие в системе, как правило, за счет перехвата системных функций, отвечающий за перебор имен файлов на диске, процессов в памяти и т.п. И вдруг RootkitRevealer обнаружил на машине своего хозяина спрятанный таким образом каталог, после чего нашелся и системный драйвер, занимающийся его сокрытием.
Будучи человеком вменяемым и представляющим, что и откуда он запускает, Марк заинтересовался, где же он мог подхватить эту заразу. Дальнейшие исследования привели его к компании "First 4 Internet", занимающейся выпуском средств, поддерживающих DRM (Digital Rights Management). Тут-то он и вспомнил, что некоторое время назад приобрел диск, выпущенный Sony, который мог быть проигран на компьютере только с помощью своего плейера. Для полного счастья возможность штатного удаления этот подарок от Sony не предусматривал в принципе, а простой ручной снос каталога привел к неработоспособности дисковода - один из удаленных драйверов был включен в цепочку фильтров устройства. Так что для оживления системы пришлось еще и покопаться в реестре.
Финальный вывод - Sony слишком далеко зашла с DRM и своей борьбой за авторские права.
------------
Файлы на диске проигрываются только спецплеером на этом же диске.
Который и устанавливает руткит. Соответственно, разрешение на автозапуск не требуется.
-------------
Сканит экзешники всех текущих процессов каждые 2 секунды, проверя по восемь раз за скан базовую информацию об их файлах - размер и. т.д. Жрет до 2% CPU системы.
Он еще нашел что кроме CD эта прога фильтрует и IDE диск и при неудачной очистке может искалечить систему к чертовой матери.
Sony действительно не писало - оно купило.
Кстати и с BR дисками ожидаеться та же DRM бодяга - там вообще речь шла если не изменяет память о блокировании CD драйва при попытке обхода прав.
===================================
Вольный перевод с http://www.securitylab.ru/news/241640.php
Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный rootkit, сообщает compulenta.ru.
Словом rootkit обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.
Сам Марк Руссинович является автором программы для обнаружения rootkit'ов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".
"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.
Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.
В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit'а - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).
На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.
Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.
Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit "нормальными" средствами невозможно.
"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.
Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.
"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys… зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.
Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.
После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.
По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.
Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.
=====================================
Оригинал статьи - http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
Обсуждение (толковое) - http://www.livejournal.com/users/olegart/640664.html
Краткие выводы, с моей точки зрения.
- Не ставьте левые плееры и вообще левые проги. Руткиты не всемогущи, а вот кривые руки творят чудеса.
- Степень червеизации постоянно растет. Следует ждать еще более активных червей от борцов за право обирать всех слушающих и смотрящих граждан.
- Сони есть преступники и пираты, после таких случаев (а это далеко не первый) говорить про их 'аффтарские права' смешно.
- Вполне возможно, что в следующей версии Винды такие руткиты будут встроены, МС этого явно не хочет (ибо люди могут проголосовать рублем), но давление на них растет. Если встроить такие штуки по-серьезному, удалить их без повреждения ОС будет очень трудно. Если это произойдет, то, возможно, Пингвиникс или БСД на домашнем компе будут единственными нормальными ОС.
Вывод - тем, кто пока что не на 'ты' c пингвиниксом или БСД, стоит это поправить.
выдержки оттуда (писал не я) -
Как-то раз Марк Руссинович (Mark Russinovich), автор множества полезных системных утилит для Windows, отлаживал свою очередную программу RootkitRevealer, занимающуюся поиском закладок (или руткитов, rootkits). Под закладками в данном случае понимаются любые вредоносные программы, помимо прочего всячески скрывающие свое присутствие в системе, как правило, за счет перехвата системных функций, отвечающий за перебор имен файлов на диске, процессов в памяти и т.п. И вдруг RootkitRevealer обнаружил на машине своего хозяина спрятанный таким образом каталог, после чего нашелся и системный драйвер, занимающийся его сокрытием.
Будучи человеком вменяемым и представляющим, что и откуда он запускает, Марк заинтересовался, где же он мог подхватить эту заразу. Дальнейшие исследования привели его к компании "First 4 Internet", занимающейся выпуском средств, поддерживающих DRM (Digital Rights Management). Тут-то он и вспомнил, что некоторое время назад приобрел диск, выпущенный Sony, который мог быть проигран на компьютере только с помощью своего плейера. Для полного счастья возможность штатного удаления этот подарок от Sony не предусматривал в принципе, а простой ручной снос каталога привел к неработоспособности дисковода - один из удаленных драйверов был включен в цепочку фильтров устройства. Так что для оживления системы пришлось еще и покопаться в реестре.
Финальный вывод - Sony слишком далеко зашла с DRM и своей борьбой за авторские права.
------------
Файлы на диске проигрываются только спецплеером на этом же диске.
Который и устанавливает руткит. Соответственно, разрешение на автозапуск не требуется.
-------------
Сканит экзешники всех текущих процессов каждые 2 секунды, проверя по восемь раз за скан базовую информацию об их файлах - размер и. т.д. Жрет до 2% CPU системы.
Он еще нашел что кроме CD эта прога фильтрует и IDE диск и при неудачной очистке может искалечить систему к чертовой матери.
Sony действительно не писало - оно купило.
Кстати и с BR дисками ожидаеться та же DRM бодяга - там вообще речь шла если не изменяет память о блокировании CD драйва при попытке обхода прав.
===================================
Вольный перевод с http://www.securitylab.ru/news/241640.php
Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный rootkit, сообщает compulenta.ru.
Словом rootkit обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.
Сам Марк Руссинович является автором программы для обнаружения rootkit'ов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".
"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.
Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.
В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit'а - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).
На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.
Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.
Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit "нормальными" средствами невозможно.
"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.
Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.
"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys… зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.
Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.
После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.
По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.
Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.
=====================================
