HATTIFNATTOR
02.11.2005, 21:34
"На прошлой неделе, когда я тестировал последнюю версию Rootkit Revealer" - пишет в своем блоге (http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html) небезызвестный Марк Руссинович, - "Я запустил сканирование одной из своих машин и был шокирован свидетельствами присутствия на ней RootKit'а."
Rootkit Revealer сообщил о наличие на диске скрытой директории, нескольких скрытых драйверов и приложений. Учитывая что я весьма осторожен в серфинге и устанавливаю программное обеспечение только из уважаемых источников я понятия не имел где мог "подцепить" реальный руткит, и если бы не подозрительные имена найденных файлов скорее склонен был заподозрить ошибку в собственной программе. Я немедленно запустил Process Explorer и Autoruns чтобы отследить код, активирующий руткит при запуске системы, но ничего не нашел. Тогда я обратился к LiveKd, утилите, позволяющей исследовать внутренности работающей системы используя Microsoft kernel debugger, чтобы отследить какой компонент был ответственен за сокрытие, и выяснил что этим компонентом является находящийся в скрытой директории \Windows\System32\$sys$filesystem драйвер Aries.sys. Дизассемблировав драйвер я обнаружил что он скрывает любой файл, директорию или ключ реестра, чьё имя начинается с $sys$. Чтобы проверить это я сделал копию файла Notepad.exe и переименовал ее в $sys$Notepad.exe, - файл немедленно "исчез".
После изучения драйвера я приступил к изучению остальных компонентов руткита. Запуская утилиту Sigcheck я сомневался что файлы имеют какие-либо копирайты или информацию о версии, но к моему удивлению это было не так: я опознал Dbghelp.dll и Unicows.dll как Microsoft Windows DLLs, остальные файлы утверждали что являются частью “Essential System Tools” от компании “First 4 Internet”.
Набранное в браузере “First4Internet” принесло ссылку http://www.first4internet.com. Также я поискал по имени продукта и по имени Ares.sys, но ничего не нашел. Однако факт разработки компанией технологии с названием "XCP® (extended copy protection) Content Management" заставил меня подумать, что возможно файлы, которые я нашел, были частью некоей системы защиты контента. Тогда я поискал в Гугле по имени компании и наткнулся на статью (http://news.cnet.co.uk/digitalmusic/0,39029666,39189658,00.htm), подтверждающую факт что First 4 Internet сотрудничает с несколькими компаниями звукозаписи, включая Sony, в разработке Digital Rights Management (DRM) ПО для CD.
Слово "DRM" заставило меня вспомнить недавно приобретенный на Amazon.com CD от Sony BMG, который может воспроизводиться только плеером находящимся непосредственно на компакт-диске, и с которого можно делать не более трех защищенных от копирования резервных СD.
Следующей фазой моего исследования стала проверка факта, что скрытые файлы действительно были связаны с защитой от копирования.
Я вставил диск в лоток, запустил плеер и щелкнул на иконке воспроизведения.
Одновременно Process Explorer показал что в момент начала проигрывания увеличилось использование процессорного времени службой $sys$DRMServer.exe, причем при взгляде на свойства процесс выдал "Plug and Play Device Manager".
Я закрыл плеер и ожидал когда использование СPU $sys$DRMServer упадет до нуля, но видел что процесс все еще потреблял от одного до двух процентов процессорного времени. Тогда я запустил Filemon и Regmon, чтобы посмотреть в чем дело, и Filemon показал что $sys$DRMServer каждые две секунды просматривает список запущенных в системе процессов, считывая информацию о файлах.
Тогда я удалил драйвера, ключи реестра, остановил и выгрузил службу $sys$DRMServer (удаляя ключи я обратил внимание что DRM загружается и в безопасном режиме) и перезагрузился. После перезагрузки система перестала видеть CD-ROM. Заглянув в Диспетчере устройств в свойства СD-ROM'а я обнаружил там зарегистрированный как lower filter Crater.sys
Пришлось снова заглядывать в реестр и удалять значение, затем поиск по реестру $sys$, удаление Cor.sys(upper filter for the IDE channel device) и перезагрузившись я получил обратно свой CD-ROM.
Полученный опыт вызывал только раздражение. Sony поместила в мою систему ПО, использующее методы обычно применяемые malware чтобы скрывать свое присутствие. Хуже что пользователи, с помощью Rootkit Revealer обнаружившие это скрытое ПО, при попытке его удаления могут нанести вред своему компьютеру.
Полностью Тут (http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html)
Rootkit Revealer сообщил о наличие на диске скрытой директории, нескольких скрытых драйверов и приложений. Учитывая что я весьма осторожен в серфинге и устанавливаю программное обеспечение только из уважаемых источников я понятия не имел где мог "подцепить" реальный руткит, и если бы не подозрительные имена найденных файлов скорее склонен был заподозрить ошибку в собственной программе. Я немедленно запустил Process Explorer и Autoruns чтобы отследить код, активирующий руткит при запуске системы, но ничего не нашел. Тогда я обратился к LiveKd, утилите, позволяющей исследовать внутренности работающей системы используя Microsoft kernel debugger, чтобы отследить какой компонент был ответственен за сокрытие, и выяснил что этим компонентом является находящийся в скрытой директории \Windows\System32\$sys$filesystem драйвер Aries.sys. Дизассемблировав драйвер я обнаружил что он скрывает любой файл, директорию или ключ реестра, чьё имя начинается с $sys$. Чтобы проверить это я сделал копию файла Notepad.exe и переименовал ее в $sys$Notepad.exe, - файл немедленно "исчез".
После изучения драйвера я приступил к изучению остальных компонентов руткита. Запуская утилиту Sigcheck я сомневался что файлы имеют какие-либо копирайты или информацию о версии, но к моему удивлению это было не так: я опознал Dbghelp.dll и Unicows.dll как Microsoft Windows DLLs, остальные файлы утверждали что являются частью “Essential System Tools” от компании “First 4 Internet”.
Набранное в браузере “First4Internet” принесло ссылку http://www.first4internet.com. Также я поискал по имени продукта и по имени Ares.sys, но ничего не нашел. Однако факт разработки компанией технологии с названием "XCP® (extended copy protection) Content Management" заставил меня подумать, что возможно файлы, которые я нашел, были частью некоей системы защиты контента. Тогда я поискал в Гугле по имени компании и наткнулся на статью (http://news.cnet.co.uk/digitalmusic/0,39029666,39189658,00.htm), подтверждающую факт что First 4 Internet сотрудничает с несколькими компаниями звукозаписи, включая Sony, в разработке Digital Rights Management (DRM) ПО для CD.
Слово "DRM" заставило меня вспомнить недавно приобретенный на Amazon.com CD от Sony BMG, который может воспроизводиться только плеером находящимся непосредственно на компакт-диске, и с которого можно делать не более трех защищенных от копирования резервных СD.
Следующей фазой моего исследования стала проверка факта, что скрытые файлы действительно были связаны с защитой от копирования.
Я вставил диск в лоток, запустил плеер и щелкнул на иконке воспроизведения.
Одновременно Process Explorer показал что в момент начала проигрывания увеличилось использование процессорного времени службой $sys$DRMServer.exe, причем при взгляде на свойства процесс выдал "Plug and Play Device Manager".
Я закрыл плеер и ожидал когда использование СPU $sys$DRMServer упадет до нуля, но видел что процесс все еще потреблял от одного до двух процентов процессорного времени. Тогда я запустил Filemon и Regmon, чтобы посмотреть в чем дело, и Filemon показал что $sys$DRMServer каждые две секунды просматривает список запущенных в системе процессов, считывая информацию о файлах.
Тогда я удалил драйвера, ключи реестра, остановил и выгрузил службу $sys$DRMServer (удаляя ключи я обратил внимание что DRM загружается и в безопасном режиме) и перезагрузился. После перезагрузки система перестала видеть CD-ROM. Заглянув в Диспетчере устройств в свойства СD-ROM'а я обнаружил там зарегистрированный как lower filter Crater.sys
Пришлось снова заглядывать в реестр и удалять значение, затем поиск по реестру $sys$, удаление Cor.sys(upper filter for the IDE channel device) и перезагрузившись я получил обратно свой CD-ROM.
Полученный опыт вызывал только раздражение. Sony поместила в мою систему ПО, использующее методы обычно применяемые malware чтобы скрывать свое присутствие. Хуже что пользователи, с помощью Rootkit Revealer обнаружившие это скрытое ПО, при попытке его удаления могут нанести вред своему компьютеру.
Полностью Тут (http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html)