Дайджест: Sony и руткит

Технология ограничения копирования XCP компании First 4 Internet, использованная звукозаписывающим лейблом Sony BMG, в некоторых компакт-дисках наделала много шума в последние две недели. Как оказалось, DRM-средства не просто ограничивает возможности копирования музыки с дисков, но и очень хитро прячется на компьютере. У пользователя отсутствует возможность не только удалить XCP, но даже обнаружить программу.

По сути, вместе с XCP на компьютер устанавливается самый настоящий руткит - набор средств, которые призваны скрывать последствия взлома и прятать используемые взломщиком инструменты от пользователя и других программ. В случае XCP от пользователей прятались компоненты системы защиты от копирования.

Посмотрим, как же развивались события.

31 октября известный специалист по "внутренностям" Windows и совладелец софтверной компании Winternals Software Марк Руссинович опубликовал в своем блоге разоблачение руткита, который установился на его компьютер вместе с DRM-системой с компакт-диска "Get Right with the Man" дуэта Van Zant.

DRM-средства от партнёров Sony включают настоящий руткит
Средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности. "Это тот самый случай, когда Sony заходит со своими средствами DRM слишком уж далеко", - заканчивает свою статью Марк Руссинович.

На сообщение Руссиновича практически сразу отреагировали журналисты. Сначала о рутките заговорили специализированные ИТ-издания, а затем новости о скандале попали и в ленты неспециализированных информационных агентств, таких как Reuters. В Sony BMG игнорировать зарождающийся скандал не стали, выпустили утилиту для удаления руткита, подчеркнув, что никакого злого умысла в действиях компании не было.

Sony предложила способ очистки ПК от DRM-руткита
Sony поспешила выпустить соответствующий "патч" для удаления средств защиты с ПК. Пользователю необходимо посетить специальную страницу и заполнить там заявку. После этого на указанный адрес электронной почты приходит письмо с предложением посетить другой сайт и заполнить другую форму. И только затем пользователь получает возможность скачать деинсталлятор.

В Sony подчеркивают, что новые средства DRM, разработанные фирмой First 4 Internet, предназначены исключительно для защиты дисков от незаконного копирования и не применяются для сбора конфиденциальных данных о пользователях.

Выпуск деинсталлятора, впрочем, не слишком помог. Многие антивирусные компании вскоре объявили, что добавят обнаружение печально знаменитого руткита в базы своих антивирусных и антишпионских программ. Параллельно в адрес Sony BMG были поданы несколько исков.

"Лаборатория Касперского" против руткита Sony
В "Лаборатории Касперского" использование руткита считают крайне неоднозначным и сомнительным, руткит вызывает у специалистов Лаборатории не только удивление, но и возмущение.

Скандал с вредоносной DRM-защитой от Sony набирает обороты
Computer Associates сообщила что классифицирует софт Sony BMG в качестве шпионского модуля. Миланская Ассоциация за права на свободу в сфере электронных интерактивных коммуникаций обратилась к властям страны с жалобой на незаконные действия Sony.

Использование DRM-защиты довело Sony до еще одного иска
Истцы, подавшие заявление в окружной суд Лос-Анджелеса, требуют, чтобы власти обязали Sony BMG приостановить продажу компакт-дисков, оборудованных вредоносным софтом, и выплатить пострадавшим материальную компенсацию нанесенного вреда.

Масла в огонь подлило и появление трояна, использующего для маскировки возможности руткита First 4 Internet. Троян вряд ли представляет серьезную угрозу в силу того, что DRM-средства с руткитом использованы всего в 20 наименованиях дисков. Всего было продано более 2 млн. таких дисков, но нужно иметь ввиду, что далеко не все покупатели будут слушать диски на компьютере. Тем не менее, информационный эффект от появления такого трояна оказался весьма силен.

На рутките Sony паразитирует троян
Утилита несанкционированного управления Breplibot.b представляет собой файл размером 10240 байт. При запуске зловредный файл копирует себя в системный каталог Windows под именем $SYS$DRV.EXE. Это имя позволяет вредоносной программе быть скрытой с помощью печально известного руткита от Sony. Причем сокрытие программы происходит лишь в том случае, если на компьютере функционирует DRM-защита, поставляющаяся на некоторых CD Sony.

Появление трояна и многочисленные негативные публикации в прессе и блогах сделали свое дело. После некоторого молчания компания Microsoft решила добавить руткит в базу своей антишпионской программы. Вскоре и Sony BMG объявила о временном прекращении выпуска дисков со скандальной DRM-системой. Несколько позднее в Sony BMG решили отозвать все поступившие в продажу диски с системой XCP, а уже проданные CD можно будет бесплатно заменить на диски без руткита.

Sony приостановила распространение дисков с руткитом
В Sony приняли решение временно приостановить производство скомпрометированных CD. Компания First 4 Internet сообщила, что в настоящее время полным ходом идёт работа над изменённой версией софта. Обещается, что программа не будет работать втайне от пользователя и использовать те шпионские приемы, что вызвали бурю негодования со стороны общественности.

Тем временем, специалисты по безопасности предупреждают, что руткиты могут присутствовать и в других системах DRM, не только в музыкальных компакт-дисках, но и, например, в играх. Так что история с Sony BMG может стать лишь началом борьбы с недобросовестными защитниками авторских прав.