DRM-средства от партнёров Sony включают настоящий руткит

Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего по сути полноценный руткит.

Словом руткит обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.

Сам Марк Руссинович является автором программы для обнаружения руткитов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".

"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий руткит, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.

Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось приложить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.

В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник руткита - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).

На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.

Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.

Во-вторых, Руссинович обнаружил, что деинсталлировать этот руткит "нормальными" средствами невозможно.

"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.

Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.

"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы, я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys… зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.

Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.

После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.

По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.

Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.

"Это тот самый случай, когда Sony заходит со своими средствами DRM слишком уж далеко", - заканчивает свою статью Марк Руссинович.