Sony schützt seine Rechte - Per Rootkit!

#1 Siehe hier: http://www.sysinternals.com/blog/

Sony liefert neuerdings seine Muxik-CD's mit einer Player-Software aus, die ohne zu fragen einen Rootkit installiert. Das Ding verbirgt dann alles, was mit "$sys$" anfängt. Egal ob Registry-Key, Directory, Programm oder was. Da fällt einem doch nix mehr zu ein!! :-(

Das Ding kann daher auch von Malware zum Trittbrettfahren benutzt werden.

Einfacher Test: mach eine Kopie von Notepad und benenn' sie in "$sys$Notepad.exe" um. Wenn sie daraufhin unsichtbar wird, hast Du diesen Rootkit.

Seine Entfernung ist in Mark Russovich's Blog beschrieben, siehe oben.

Sony sollte man dafür boykottieren!!

Grüße,
Orpheus

#2 Mittlerer Weile hat Sony sich an Antiviren Biz gewendet und einen "patch" zur Verfuegung gestellt, der das "Verschwinden" rueckgaengig macht. Dies soll verhindern das Hacker / Malware schreiber diese Rootkitfunktion ausnutzen. Heikel ist nur, das in der neuen Version (3.7 MB), neue Dateien enthalten sind und ANDERE Veraenderungen am System vorgenommen werden. Welche Veraenderungen vorgenommen werden, hat SONY aber nicht bekannt gegeben...

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)

#3 Microsoft tut endlich mal was richtiges. Dieser Sony-Rootkit wird von MS-Antispyware und dem "Malicious Software Removal Tool" entfernt werden. Näheres hier: http://www.eweek.com/article2/0,1759,1886122,00.asp?kc=EWRSS03119TX1K0000594

Maxtor

#4

Zitat

schandmaennchen.de postete
Wissen Sie, woran Sie erkennen, dass Sie richtig Schei... gebaut haben?
Wenn Microsoft die Guten sind.

__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#5

Zitat

A SIC noticiou, segunda-feira, que a Sony vendeu CD’s de música que incluíam um programa de protecção contra cópias ilegais. Agora, sem paralelo na história da indústria, a Sony BMG decidiu retirar do mercado quase 5 milhões de discos, incluindo álbuns de estrelas como Celine Dion ou Sarah McLachlan.

Sony hat 5 Millionen CD´s verkauft, welche mit einem Kopier-Schutz versehen sind.
Nun, ohne Vergleich in der Industriegeschichte, hat Sony entschieden, diese CD´s vom Markt zu nehmen, eingeschlossen, CD´s von Celine Dion usw....
wenn man die CD auf dem PC installiert, wird automatisch das Programm XCP mitinstalliert ...allerdings zirkulieren schon Viren, die sich auf dieses Programm "spezialisiert " haben.
Sony musste also reagieren, denn Kaeufer wie auch Kuenstler haben energisch protestiert........
Mehr als 2 Millionen CD´s wurden inzwischen schon verkauft.....erkennbar an XCP (auf der CD-Verpackung)............
-----------------------------------------------------------------------
Zitat von Yourhighness
Neben Anklagen aus Italien in Bezug auf Sonys Rootkit, wird Sony nun auch mit Klagen der Kuenstler rechnen muessen. In Amerika sind noch einige andere Sachen in Diskussion. U.a. ist bekannt geworden das die Software, die den Sony Rootkit entschaerfen soll, mehrere Sicherheitsluecken auf dem PC "installiert" mit denen jegliche uminoese Webseiten die Bugs ausnutzen koennten, alle moeglichen Schaedlinge auf dem PC des Users zu installieren....
__________
MfG Sabina

rund um die PC-Sicherheit

#6

Zitat

ist bekannt geworden das die Software, die den Sony Rootkit entschaerfen soll, mehrere Sicherheitsluecken auf dem PC "installiert" mit denen jegliche uminoese Webseiten die Bugs ausnutzen koennten

Wo findet man die Quelle davon ? Ich kann mir beim besten Willen nicht vorstellen, dass ein Unternhmen, welches in dieser Sache quasi unter Beobachtung steht, so beschränkt handelt....
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 da mussen wir auf Yourhighness warten, es ist ein Zitat von ihm...aber er hat es bestimmt auf englischen Seiten gelesen.
Und wenn man den Thread verfolgt und alles, was mittlerweile geschehen ist, denke ich auch, dass sich Sony sich da wirklich auf etwas sehr zweifelhaftes eingelassen hat.....

Nun werden die CD´s ja auch Hals ueber Kopf wieder eingezogen....
__________
MfG Sabina

rund um die PC-Sicherheit

#8 http://www.tagesschau.de/aktuell/meldungen/0,1185,OID4940844_TYP6_THE_NAV_REF1_BAB,00.html
http://www.nickles.de/c/n/4518.htm
http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
http://www.spiegel.de/netzwelt/politik/0,1518,384248,00.html
http://www.heise.de/newsticker/meldung/66044
http://www.heise.de/newsticker/meldung/66074

die andere Seite der Medalie
http://newtechinc.blogspot.com/2005/11/using-sonys-drm-against-itself.html

es kommt noch schlimmer @joschi hier!!!
http://www.cdfreaks.com/news/12691

Microsoft steht auf einmal gut dar
http://www.heise.de/security/news/meldung/66091

Fsecure hat bereits ein Cleaner:
http://www.f-secure.com/blacklight/try.shtml
http://www.f-secure.com/weblog/#00000691

genug input?

Greetz Lp

#9 Gibt es eigentlich auch schon irgendwo ein Tool, das alle Installationsreste von dieser Sony-Software beseitigt?

Die ganzen (angekündigten) Removal-Tools machen ja wohl nur den Rootkit weg, lassen aber z.B. den IDE-Filtertreiber wo er ist. Alle AV-Hersteller zieren sich an dieser Stelle. Und Sony ersetzt eine Sicherheitslücke durch eine viel größere.

Juristisch betrachtet sollte man auf der sicheren Seite sein, wenn das Tool nur Installationsreste beseitigt, das heißt ggf. auf einer vorherigen "normalen" Deinstallation der Sony-Software besteht. Nach einer solchen Deinstallation kann man die CD auf dem Computer nicht mehr abspielen, und mit den vermutlich kodierten Musikstücken kann man so nichts anfangen.

Wo also ist die Rechtsgrundlage für den Verbleib irgendwelcher Programmteile? Das Kopieren von Sony-CDs dauerhaft unmöglich machen, durch bleibenden Eingriff ins Betriebssystem? Das ist im Grenzbereich der Nötigung. Und wenn das jeder machte - wieviel CPU-Bandbreite bliebe mir, bei den 20 Rootkits die ich Ruckzuck hätte? Und wer wirklich kopieren will, der deaktiviert Autoplay vor dem ersten einlegen einer solchen CD und nimmt Elby, wenn Nero nicht geht.

Also, wenn sich die AV-Hersteller zieren, dann müssen wohl die talentierten Heimanwender 'ran. Kann man Russinovich's Erkenntnisse nicht in ein Script umsetzen, das den ganzen Krempel auf sichere Weise entsorgt?

Maxtor

#10 im Grunde hat Sony saemtliche PCs verseucht, auf welchen die Cd´s abgespielt wurden.....
Dass sie nun die noch nicht verscherbelten CD´s einziehen, ist in diesem Zusammenang nicht mehr von Belang.
(es sei denn, man formatiert und sitzt nun auf den teuer bezahlten CD´s, die man nicht mehr nutzen moechte.)
Die Ausmasse von dieser ganzen Geschichte....ich kann sie mir nicht ausmalen......
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ich hätte nicht gedacht, dass ich über den Scheix was SonyBMG da unters Music-Consumers-Volk streut, noch lachen kann. Aber als ich das

Zitat

die andere Seite der Medalie
http://newtechinc.blogspot.com/2005/11/using-sonys-drm-against-itself.html

von Laserpointer's Posting gelesen habe, hab ich doch mal herzhaft schadenfreudig ablachen müssen.
Wie sagt der Volksmund doch gleich? "Wer andern eine Grube gräbt, fällt selbst ins Loch!"

Gruß
RollaCoasta
__________
U can get it if u really want! (J.Cliff)

#12

Zitat

So I re-installed the infestation of DRM hell and re-named my favorite burning software with $sys$ in front of the executable. Guess who can burn as many CD's as he wants? .... :-D

Das ist echt mal ne Klasse Idee
MFG
DAFRA

#13 Es gibt jetzt immerhin eine gute Anleitung zum entfernen. Und zwar hier:
http://www.dslreports.com/forum/remark,14817570
Der edle Spender heißt Kevin McAleavey, stimmt jeglicher Weiterverbreitung zu, und möchte uns dies wissen lassen:

Zitat

PREVENTING REINFECTION

1. Disable "autostart" (google for how)
2. Install BOClean (sorry, I work for a living and if I didn't, I wouldn't have KNOWN this answer.)

Permission granted to redistribute and expand upon, please include the original source though - Kevin McAleavey (kevinmca at nsclean.com), makers of BOClean. If I'm going to be sued for this, the least I've earned is credit for the answer.

Das ist hiermit geschehen - verdient hat er sich's ja. Und da im schnellebigen Internet manches auch bald wieder weg ist, deponiere ich hier eine Sicherungskopie. (Liest sich wie die Entschärfungsanleitung zu einer High-Tech-Bombe.)

Maxtor

Also, hier isses, alles:

Zitat

Handyperson's guide to removal of SONY ROOTKIT!

BEFORE you read this, it's important to note that we're EXTREMELY busy right now with far more serious issues than the media's attention to the "SONY ROOTKIT" phenomenon, and that handling panicked people over this has consumed huge amounts of our time already to the detriment of more important issues. As we near release of BOClean 4.20, all of our attention is focused on that right now. Emails regarding this issue or instant messages will have to wait until AFTER Thanksgiving. Therefore, should you respond to this offering, please don't be offended if I don't have time to respond to those at this time. I encourage further discussion and possible corrections of the advice offered below, but am not in a position to assist owing to far more pressing urgencies. I hope folks will understand the difficult situation that I'm in.

Having found some time to go back and play with the SONY rootkit has been difficult to come by, and our attorneys have been unable to obtain a definitive answer from the justice department as to our creating a specific solution to the SONY "rootkit" problem. However, I have been told that I have a right to my opinion, and as long as I express this as "my opinion" and not that of our company, (I did this on my own time) I should be free to share a chuckle with folks as to the pathetic nature of this "rootkit." And in doing so, I can explain WHY I think it's pathetic as well! So let's have at it, folks can learn from my rant to follow how to take care of this all by themselves!

The "rootkit" indeed hides the uber-secret "$sys$filesystem" folder, which is a subfolder of the WINNT (NT and 2000) or WINDOWS (XP) "SYSTEM32" folder. The rootkit sadly, is UNABLE to hide itself from being accessed directly from a COMMAND PROMPT (found in the start menu/programs/accessories list).

So for chuckles, I opened a COMMAND prompt. I then went (on an XP box, NT and Win2000 would be a WINNT rather than WINDOWS) ...

CD\WINDOWS (enter)
CD SYSTEM32 (enter)
CD $sys$filesystem (enter)

Low and behold, on a machine infected by this, I got a PROMPT with $sys$filesystem present! (on an UNinfected machine, you'd get an error of "not found." Surprisingly, it let me HAVE it!) If this directory doesn't show, then you're NOT infected! You're finished right here.

IF $SYS$FILESYSTEM exists, then the first thing we'll want to do is lose the "cloak" and that is a file called ARIES.SYS ... this command will get rid of it, you can successfully delete it while it's running. It's NOT protected! Heh. This command loses the cloak:

DEL ARIES.SYS (enter)

Once you've done this, REBOOT!

At THIS point, you have done what everyone else (including antiviruses, Microsoft and everyone else) is going to do as their FINAL solution - you have successfully "uncloaked" and prevented any further possible exploits of your system. Color it done unless you're brave enough to continue. In going further, a COMPLETE removal is necessary. Here's what I discovered ...

REMOVING THE REST OF SONY'S "TREAT"

After you've rebooted, some services (which are not really services) will run again, particularly the $sys$DRMServer. Trying NET STOP won't work as it's not REALLY a service. You'll get a system error. However, you can now SEE the files when you use the "My computer" file explorer and you'll be able to SEE the "$sys$filesystem" folder now under the SYSTEM32 folder.

You should now be able to move to the formerly-hidden $sys$filesystem folder and it should now be visible after the reboot.

BEFORE you do anything else, you now have to consider if you're brave enough to do manual registry editing, because if you remove anything else and don't clean up the registry, your CDROM and possibly your hard disk(s) *WILL* vanish if "crater.sys" and "$sys$cor.sys" are removed. So if you're uncomfortable with registry editing, STOP NOW! You're DONE!!!

If you do the CD\WINDOWS, CD SYSTEM32, CD $sys$fileystem trick again, you will note that two things that weren't there before will now appear. Those are $sys$DRMServer and $sys$parking. LEAVE THEM ALONE! And there are MORE back in the SYSTEM32 folder. Leave THOSE $sys$*.* files alone for now ALSO!

The $sys$DRMServer.exe file will still be running and cannot be stopped without registry removal and another reboot. So ON to the next step(s) ...

NEXT STEP - REGISTRY CLEANING

Because the rootkit modifies registry permissions, a TEMPORARY trick needs to be applied in order to be successful.

FIRST ... run REGEDT32 (*NOT* REGEDIT) and navigate down to the HKEY_LOCAL_MACHINE key. RIGHT click it and select PERMISSIONS from the dropdown menu.

Click on "everyone" and make sure that FULL CONTROL is checked before proceeding. After you're done, be SURE to come back here and UNcheck it or your machine will be at risk. This elevated privilege is required in order to successfully edit and/or delete the remains, and it's CRUCIAL that you reset this after you're done!

Use the FIND item to locate anything that matches "$sys$" ... there's going to be a PILE of them all over the place, and failure to carry out this portion of it will cause drives to no longer work!

Using FIND, have it search for $sys$ ... certain registry entries can simply be deleted, certain ones must be EDITED, and here's where it gets tricky ...

First things you'll encounter are under the HKEY_LOCAL_MACHINE files, under the SOFTWARE key ... you'll want to delete outright these three:

$sys$reference (right click, DELETE!)
ECDDiskProducers (byebye)
SONYBMG (hasta la vista!)

Then, as you continue to FIND more $sys$ items, BE CAREFUL! Some can be deleted, SOME HAVE TO BE EDITED!!! To find the next, simply hit the F3 key!

In "WBEM\WDM" you'll spot some UUID's and there will be crater.sys. Any such references that DON'T have IMAPI are safe to just delete. This will be the first one you encounter after the above. DELETE. Same for the one in WBEM\WDM\DREDGE ... DELETE!

This qwap also copies itself all over the "CurrentControlSet" keys, and does up ALL of them.

So next stop will be under various "ControlSet00x" keys. You'll stop at the "CoDeviceInstallers" ... for each "$sys$caj.dll" you encounter. On OUR lab rats, it was the first UUID entry and the last. Look for the $sys$caj.dll entry and remove ONLY that particular value for a UUID where it appears and do NOT touch anything else in there!

NEXT STOP IS THE TRICKY!

Next stop is the "Enum" area - IDE or SCSI depending on what you have. HERE, we need to EDIT rather than DELETE! Look for an entry on the right side that says "LowerFilters" ... DO NOT DELETE!!!!! You need to double-click on the "LowerFilters" name. That will bring up an EDIT screen.

In this EDIT screen, what you need to do is move the cursor up where it says "$sys$crater" and CAREFULLY remove that, and pull any lines below it up. NORMALLY the line below will be IMAPI.SYS but could be something else, and more following. The OBJECTIVE is to remove the $sys$crater ONLY and then pull the line below it up to where the crater.sys WAS. Objective is to leave everything ELSE intact and JUST lose $sys$crater!

Should you encounter a "LowerFilters" that *ONLY* contains "$sys$crater," then you can DELETE it, but usually the "LowerFilters" has another item. Make certain that the top item isn't blank!

Next stop in your search will result in "UpperFilters" and here, what you want to remove is "$sys$cor." If "$sys$cor is the ONLY entry, then you can delete that item. If there is anything ELSE in there, then you must edit OUT the "$sys$cor" as was done with "$sys$crater." Each system is different and thus the uncertainty here. You ONLY want to get rid of "$sys$crater" and "$sys$cor" and LEAVE EVERYTHING ELSE INTACT or your drives will vanish.

$sys$cor will show up in other places, under the name "ActiveChannel." You can DELETE that whole value too. ANY place where only $sys$cor or $sys$crater shows up as a value can be DELETED as LONG AS there are no other "dependencies" listed. If there are other items, you MUST edit OUT the $sys$whatever and LEAVE THE OTHERS INTACT by removing the entire line which contains either $sys$crater or $sys$cor ...

NEXT STOP, "ROOT" entries! You'll see the following KEYS which need to be deleted:

LEGACY_$SYS$ARIES
LEGACY_$SYS$DRMSERVER
LEGACY_$SYS$LIM
LEGACY_$SYS$OCT

Just delete the entire KEYS themselves, so the above are GONE.

NEXT STOP, "SERVICES" entries! You'll see the following keys next:

$sys$aries
$sys$cor
$sys$crater
$sys$DRMServer

Same deal as above ...

That completes the "CurrentControlSet" ... expect to go through a repeat of the above for EACH user's individual "ControlSet" until you've done them all. How many depends on how many "users" on the machine.

Once done, BE SURE TO GO BACK and CORRECT the security change to the registry that was necessary to do this - REMOVE the checkbox for "everybody" that granted "everyone" "FULL CONTROL." You DON'T want to leave that permission granted!

And finally, REBOOT!

When the system comes back up, GO to that $sys$filesystem folder and delete the remainder - you'll now have permissions to do so. And finally, wipe THESE files from your SYSTEM32 folder:

$SYS$CAJ.DLL
$SYS$UPGTOOL.EXE

You're done!

PREVENTING REINFECTION

1. Disable "autostart" (google for how)
2. Install BOClean (sorry, I *work* for a living and if I didn't, I wouldn't have KNOWN this answer.)

Permission granted to redistribute and expand upon, please include the original source though - Kevin McAleavey (kevinmca at nsclean.com), makers of BOClean. If I'm going to be sued for this, the least I've earned is credit for the answer.

And once again, I apologize if I'm unable to find time to respond to folks until after Thanksgiving, we're INSANELY busy here with far deeper things than this. Hopefully, if there are unanswered questions, some of the "helpers" who have already done this can step in and assist if folks delete the wrong thing and their CDROM is no more. Just a matter of CORRECT registry editing if that's the case.

(edited a second time, MORE typos fixed)

--
Kevin McAleavey support@nsclean.com (Makers of BOClean - BOClean means never having to do an HJT log again)

»www.nsclean.com

#14 Ein exzellenter Artikel über Sony's DRM Rootkit
The Real Story

Zitat

What do you think of your antivirus company, the one that didn't notice Sony's rootkit as it infected half a million computers? And this isn't one of those lightning-fast internet worms; this one has been spreading since mid-2004.

Obige Aussage sollte auch den naivsten User nachdenklich stimmen!
Soviel Inkompetenz kann man beim besten Willen allen Antivirusherstellern nicht unterstellen.
Darauf gibt es leider nur eine nüchterne Antwort.
Wieso sollten ausnahmsweise Hersteller von Antivirussoftware in einer Gesellschaft dessen Ethik und Moral vom Kapital bestimmt wird, eine Ausnahme machen.
Die Stellungnahmen führender AV-Hersteller (soweit es eine Stellungnahme überhaupt gab) spricht Bände.
-------------
Anwender die noch immer daran glauben daß ihre Firewall ausgehende Verbindungen sicher unterbinden kann sollten vielleicht spätestens jetzt ihr Sicherheitskonzept überdenken.

Gruß
Ajax

#15

Zitat

Microsoft tut endlich mal was richtiges. Dieser Sony-Rootkit wird von MS-Antispyware und dem "Malicious Software Removal Tool" entfernt werden. Näheres hier: http://www.eweek.com/article2/0,1759,1886122,00.asp?kc=EWRSS03119TX1K0000594

wie war das doch gleich? Microsoft, dein Retter in der Not??
Microsoft Windows Antispy soll den Rootkit finden ..........
__________
MfG Sabina

rund um die PC-Sicherheit