![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
iskatelРекомендовано к прочтению всем. Если вам, конечно, не пофиг, что крутится на вашем компе.
Оригинал статьи - http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
Обсуждение (толковое) - http://www.livejournal.com/users/olegart/640664.html
Краткие выводы, с моей точки зрения.
- Не ставьте левые плееры и вообще левые проги. Руткиты не всемогущи, а вот кривые руки творят чудеса.
- Степень червеизации постоянно растет. Следует ждать еще более активных червей от борцов за право обирать всех слушающих и смотрящих граждан.
- Сони есть преступники и пираты, после таких случаев (а это далеко не первый) говорить про их 'аффтарские права' смешно.
- Вполне возможно, что в следующей версии Винды такие руткиты будут встроены, МС этого явно не хочет (ибо люди могут проголосовать рублем), но давление на них растет. Если встроить такие штуки по-серьезному, удалить их без повреждения ОС будет очень трудно. Если это произойдет, то, возможно, Пингвиникс или БСД на домашнем компе будут единственными нормальными ОС.
Вывод - тем, кто пока что не на 'ты' c пингвиниксом или БСД, стоит это поправить.
выдержки оттуда (писал не я) -
Как-то раз Марк Руссинович (Mark Russinovich), автор множества полезных системных утилит для Windows, отлаживал свою очередную программу RootkitRevealer, занимающуюся поиском закладок (или руткитов, rootkits). Под закладками в данном случае понимаются любые вредоносные программы, помимо прочего всячески скрывающие свое присутствие в системе, как правило, за счет перехвата системных функций, отвечающий за перебор имен файлов на диске, процессов в памяти и т.п. И вдруг RootkitRevealer обнаружил на машине своего хозяина спрятанный таким образом каталог, после чего нашелся и системный драйвер, занимающийся его сокрытием.
Будучи человеком вменяемым и представляющим, что и откуда он запускает, Марк заинтересовался, где же он мог подхватить эту заразу. Дальнейшие исследования привели его к компании "First 4 Internet", занимающейся выпуском средств, поддерживающих DRM (Digital Rights Management). Тут-то он и вспомнил, что некоторое время назад приобрел диск, выпущенный Sony, который мог быть проигран на компьютере только с помощью своего плейера. Для полного счастья возможность штатного удаления этот подарок от Sony не предусматривал в принципе, а простой ручной снос каталога привел к неработоспособности дисковода - один из удаленных драйверов был включен в цепочку фильтров устройства. Так что для оживления системы пришлось еще и покопаться в реестре.
Финальный вывод - Sony слишком далеко зашла с DRM и своей борьбой за авторские права.
------------
Файлы на диске проигрываются только спецплеером на этом же диске.
Который и устанавливает руткит. Соответственно, разрешение на автозапуск не требуется.
-------------
Сканит экзешники всех текущих процессов каждые 2 секунды, проверя по восемь раз за скан базовую информацию об их файлах - размер и. т.д. Жрет до 2% CPU системы.
Он еще нашел что кроме CD эта прога фильтрует и IDE диск и при неудачной очистке может искалечить систему к чертовой матери.
Sony действительно не писало - оно купило.
Кстати и с BR дисками ожидаеться та же DRM бодяга - там вообще речь шла если не изменяет память о блокировании CD драйва при попытке обхода прав.
===================================
Вольный перевод с http://www.securitylab.ru/news/241640.php
Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный rootkit, сообщает compulenta.ru.
Словом rootkit обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.
Сам Марк Руссинович является автором программы для обнаружения rootkit'ов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".
"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.
Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.
В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit'а - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).
На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.
Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.
Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit "нормальными" средствами невозможно.
"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.
Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.
"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys… зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.
Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.
После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.
По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.
Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.
=====================================
Оригинал статьи - http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
Обсуждение (толковое) - http://www.livejournal.com/users/olegart/640664.html
Краткие выводы, с моей точки зрения.
- Не ставьте левые плееры и вообще левые проги. Руткиты не всемогущи, а вот кривые руки творят чудеса.
- Степень червеизации постоянно растет. Следует ждать еще более активных червей от борцов за право обирать всех слушающих и смотрящих граждан.
- Сони есть преступники и пираты, после таких случаев (а это далеко не первый) говорить про их 'аффтарские права' смешно.
- Вполне возможно, что в следующей версии Винды такие руткиты будут встроены, МС этого явно не хочет (ибо люди могут проголосовать рублем), но давление на них растет. Если встроить такие штуки по-серьезному, удалить их без повреждения ОС будет очень трудно. Если это произойдет, то, возможно, Пингвиникс или БСД на домашнем компе будут единственными нормальными ОС.
Вывод - тем, кто пока что не на 'ты' c пингвиниксом или БСД, стоит это поправить.
выдержки оттуда (писал не я) -
Как-то раз Марк Руссинович (Mark Russinovich), автор множества полезных системных утилит для Windows, отлаживал свою очередную программу RootkitRevealer, занимающуюся поиском закладок (или руткитов, rootkits). Под закладками в данном случае понимаются любые вредоносные программы, помимо прочего всячески скрывающие свое присутствие в системе, как правило, за счет перехвата системных функций, отвечающий за перебор имен файлов на диске, процессов в памяти и т.п. И вдруг RootkitRevealer обнаружил на машине своего хозяина спрятанный таким образом каталог, после чего нашелся и системный драйвер, занимающийся его сокрытием.
Будучи человеком вменяемым и представляющим, что и откуда он запускает, Марк заинтересовался, где же он мог подхватить эту заразу. Дальнейшие исследования привели его к компании "First 4 Internet", занимающейся выпуском средств, поддерживающих DRM (Digital Rights Management). Тут-то он и вспомнил, что некоторое время назад приобрел диск, выпущенный Sony, который мог быть проигран на компьютере только с помощью своего плейера. Для полного счастья возможность штатного удаления этот подарок от Sony не предусматривал в принципе, а простой ручной снос каталога привел к неработоспособности дисковода - один из удаленных драйверов был включен в цепочку фильтров устройства. Так что для оживления системы пришлось еще и покопаться в реестре.
Финальный вывод - Sony слишком далеко зашла с DRM и своей борьбой за авторские права.
------------
Файлы на диске проигрываются только спецплеером на этом же диске.
Который и устанавливает руткит. Соответственно, разрешение на автозапуск не требуется.
-------------
Сканит экзешники всех текущих процессов каждые 2 секунды, проверя по восемь раз за скан базовую информацию об их файлах - размер и. т.д. Жрет до 2% CPU системы.
Он еще нашел что кроме CD эта прога фильтрует и IDE диск и при неудачной очистке может искалечить систему к чертовой матери.
Sony действительно не писало - оно купило.
Кстати и с BR дисками ожидаеться та же DRM бодяга - там вообще речь шла если не изменяет память о блокировании CD драйва при попытке обхода прав.
===================================
Вольный перевод с http://www.securitylab.ru/news/241640.php
Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный rootkit, сообщает compulenta.ru.
Словом rootkit обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.
Сам Марк Руссинович является автором программы для обнаружения rootkit'ов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".
"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.
Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.
В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit'а - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).
На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.
Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.
Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit "нормальными" средствами невозможно.
"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.
Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.
"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys… зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.
Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.
После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.
По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.
Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.
=====================================
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
продолжение
Date: 2005-11-18 07:49 am (UTC)18 ноября, 2005
Действия Sony - выпущенный патч для удаления DRM-средств с руткитом и решение о приостановке производства скомпрометированных CD - не только не способствовали затиханию скандала вокруг пресловутых дисков Sony BMG, а наоборот, подлили масла в огонь. Удаление DRM-средств оказалось не только слишком сложным для пользователей, сколько безрезультатным - сам вредоносный руткит продолжал работать.
Более того, как выяснилось позже, патч для удаления DRM-средств с диска открывает критическую уязвимость. Используя её, удаленный злоумышленник может подсадить на компьютер пользователя вирусы, трояны и прочий вредоносный софт, который может повредить систему. Таким образом, патч представляет собой еще большую угрозу безопасности системы пользователя, чем сам руткит.
Дыра позволяет любой веб-странице, посещаемой пользователем, загрузить и установить любой код на его компьютер. Например, автор "вирусного" сайта может написать вредоностную программу, встроить её код в какой-нибудь URL, а затем создать веб-страницу, которая заставляет CodeSupport (элемент ActiveX, созданный First4Internet, который необходимо установить, чтобы скачать патч) загрузить и установить этот код из URL.
Однако точку в этой истории, очевидно, ставить рано. По данным экспертов по компьютерной безопаcности, изъять, а тем более заменить диски с сомнительным софтом Sony будет не так уж легко, поскольку по всему миру этот софт установлен на более чем 500000 машинах, а всего было продано более 2 млн. "защищенных" дисков.
Данные о количестве "захваченных" руткитом компьютеров представлены независимым экспертом по безопасности Дэном Каминским. Тот подсчитал количество систем с установленным софтом защиты от копирования XCP по технологии "сниффинга кэша DNS", так как каждый экземпляр XCP регистрирует запускаемые DRM-диски на сайтах update.xcp-aurora.com и connected.sonymusic.com.
Sony, в свою очередь, отказывается называть точное количество систем с XCP. Тем не менее, если данные, предложенные Каминским, окажутся достоверными, то получается, что ПО, встроенное в диски двадцатки-другой музыкантов, пишущихся на лейбле Sony BMG, уже распространилось по всему миру, и установлено в миллионах систем.
Каминский утверждает, что компьютеры с руткитом от Sony можно найти практически в любой стране мира - от Афганистана и Замбии, до Японии, США и Великобритании. В частности, по подсчетам Каминского, в Японии их насчитывается порядка 200000, в Соединенных Штатах - 130000, а на долю Великобритании приходится 44000 копий этой программы. В Нидердандах и Испании компьютеров с установленной XCP - по 27000, а в Корее, Перу, Франции и Швейцарии пользователи установили в районе от 8000 до 12000 копий таких программ.
процесс пошел...
Date: 2005-11-23 09:33 am (UTC)В соответствии с недавно принятым законом о борьбе с распространением шпионского программного обеспечения, штат Техас подал в суд на японскую компанию Sony, заявив, что средство защиты от копирования ее компакт-дисков ставит под угрозу безопасность пользовательских компьютеров.
Поводом к подаче иска стал разгорающийся скандал, возникший вскоре после выхода полусотни CD-альбомов, снабженных системой защиты от несанкционированного копирования XCP, не позволяющей владельцу диска сделать более трех копий. Помимо того, что XCP ведет себя, как классический троян (сразу после загрузки диска на пользовательский компьютер тайно устанавливается XCP-клиент), так и эту свою простую функцию он нормально выполнить не в состоянии: программа может быть успешно использована злоумышленниками для атаки чужой машины Кроме того, неудачная попытка удаления XCP-клиента может привести к полному отключению оптического привода. Понятно, что простыми извинениями и отзывом "зараженных" компакт-дисков Sony уже не отделается.
Штат Техас рассчитывает получить не менее ста тысяч долларов компенсации за каждый случай нарушения его законодательства, а общее число таких нарушений пока оценивается как минимум в "несколько тысяч", сообщает Associated Press.
http://www.securitylab.ru/news/242278.php