Sony XPC/DRM Rootkit entfernen (Übersetzung)

[Antony]

Wie entfernt man das Sony - XPC DRM Rootkit

Inhalt

[1.]Wie dieses Rootkit ein System befällt
[1.1]Übertragungsmethode
[2.]CDs die dieses Rootkit enthalten
[3.]Woran man erkennt, ob eine CD mit dem Sony - XPC DRM Rootkit versehen ist
[4.]Woran man erkennt, ob eine Infektion mit dem Sony / XPC DRM Rootkit vorliegt
[5.]Rootkitbeseitigung und Erkennung
[6.]Technische Details


[1.]Wie dieses Rootkit ein System befällt:

"SonyBMG" implementierte die "XP - Aurora"-Software als sein "digitales Rechteverwaltungssystem" (DRM) in einigen ihrer CDs. Eine bestimmte Komponente dieser Software (DRM), lässt sich als ein Rootkit bezeichnen, da hiermit spezifische Dateien, Registrierungsschlüssel und Prozesse vor dem System und damit vor den Augen des Users verborgen werden.

[1.1]Übertragunsmethode:

Die Übertragung vollzieht sich in drei wesentlichen Schritten. Das Rootkit kopiert sich auf ein System,

• sobald sich ein Benutzer mit administrativen Rechten auf diesem System einloggt,
• eine Sony BMG AudioCD, die diese Rootkittechnologie enthält, in das CD-ROM Laufwerk einlegt
• und die Lizenbestimmungen akzeptiert.

[2.]CDs welche dieses Rootkit enthalten:

Sony hat nie eine "offizielle" Liste jener CDs, welche mit diesem Rootkit ausgestatten wurden, veröffentlicht. Es soll jedoch eine internes Vereichnis existieren, in dem sämtliche der mit dieser Rootkittechnologie bestückten CDs enthalten sind.

http://sunbeltblog.blogspot.com/2005...ve-drm_09.html
http://ukcdr.org/issues/cd/bad/
http://www.fatchuck.com/z3.html


[3.]Woran man (äußerlich) erkennt, ob eine CD mit dem Sony - XPC DRM Rootkit versehen ist:

CDs, welche dieses Rootkit enthalten, tragen am scharnierseitigen Rand ihrer Hülle einen Hinweis mit den Worten: "Inhalt schreibgeschützt - Beachten Sie die Hinweise auf der Rückseite für weitere Informationen". Die Abbildung zeigt es:

CD - Vorderseite

Auf der Rückseite der CD-Hülle befindet sich ein rechteckiges Label mit der Kompatibilitätsangaben und weiteren Spezifikationen. Daneben eine markante Warnung "FBI Anti-Privacy Warning" auf einer Art Wappen, sowie der dezente Hinweis darunter "Einigen Computern könnte möglicherweise der Zugriff auf den digitalen Dateiteil der CD verwehrt werden..." Auf der unteren Abbildung zu erkennen:

Rückseite mit Systemanforderungen und Warnung

[4.]Woran man erkennt, ob eine Infektion mit dem Sony / XPC DRM Rootkit vorliegt:

Wurde ein System mit dem Sony / XPC Rootkit infiziert, so wird immer der sichtbare Dienst namens "XCP CD Proxy" mitinstalliert. Dieser Service ist zwar nicht das Rootkit selbst und sollte daher auch unberührt bleiben, dafür jedoch ein sicherer Hinweis darauf, daß sich das Rootkit auf diesem System installiert hat.

Die Durchführung folgender Schritte zeigt, ob der erwähnte Dienst auf dem eigenen System installiert ist oder nicht:

1. Start>
2. Ausführen>
3. Unter "Öffnen" nun "services.msc" eintippen und "OK" drücken
4. Es öffnet sogleich die Dienste-Konsole der Systemsteuerung und zeigt alle auf dem System befindlichen verfügbaren Dienste mit namentlich an.
5. Hier ganz nach unten scrollen und nach dem Dienst "XCP CD Proxy" suchen. Sollte er zu finden sein, so ist davon auszugehen, mit dem Sony - Rootkit infiziert zu sein.
6. Schließe nun wieder die Dienste-Konsole.

[5.]Rootkit - Beseitigung / Erkennung:

Ebenso wie AV-Hersteller ihre eigenen Tools anbieten, so hat auch Sony einen entsprechenden Patch veröffentlicht, um dieses Rootkit zu deaktivieren. In beiden Fällen lässt sich damit der Rootkit-Dienst zwar beenden und beseitigen. Jedoch bleibt nach Verwendung des Sony Patches - im Gegensatz zu den Alternativen der AV-Hersteller Symantec und Sophos - die wahre Rootkit-Datei "aries.sys" auf dem System zurück!

Bedauerlicherweise, und da stimme ich mit Marc Russinovish von Sysinternals überein, bergen sowohl Sony's Patch als auch die Utilities der AV-Hersteller ein Restrisiko, das System während der Reinigung zum Absturz zu bringen. Dies vor Augen, betrachten wir folgende wesentlich sicherere Methode der manuellen Beseitigung. Mit jeder der unten aufgeführten Vorgehensweisen, wird man sich des "Rootkits selbst" entledigen können und weiterhin in der Lage sein, die CDs auf dem Computer abzuspielen.

Anleitung zur manuellen Entfernung des DRM Rootkits unter Windows XP/2003:

Die folgenden Arbieten am System sind als Administrator durchzuführen.

->Extras\Ordneroptionen\Ansicht\"Geschütze Systemdateien ausblenden (empfohlen)" = deaktivieren.
->Extras\Ordneroptionen\Ansicht\"Versteckte Dateien und Ordner anzeigen" = aktivieren.
->Extras\Ordneroptionen\Ansicht\"Erweiterungen bei bekannten Dateitypen" = deaktiviern.

1. Klicke auf Start>
2. Klicke auf Ausführen>
3. Unter "Öffnen" nun "cmd /k sc delete $sys$aries" eintippen und "OK" drücken
4. Starte das System neu auf
5. Lösche folgendes Verzeichnis im Windows Explorer: C:\%WinDir%\system32\$sys$filesystem\aries.sys
6. (Ersetze %windir% mit dem Verzeichnis in welchem Windows auf deinem System installiert ist)

Anleitung zur manuellen Entfernung des DRM Rootkits unter Windows NT/2000:

->Extras\Ordneroptionen\Ansicht\"Geschütze Systemdateien ausblenden (empfohlen)" = deaktivieren.
->Extras\Ordneroptionen\Ansicht\"Versteckte Dateien und Ordner anzeigen" = aktivieren.
->Extras\Ordneroptionen\Ansicht\"Erweiterungen bei bekannten Dateitypen" = deaktiviern.

1. Da das Programm "SC.exe" unter Windows NT/2000 nicht existiert, lade diese Freeware-Alternative herunter
2. und installiere sie in dein Windows-Verzeichnis.
3. Klicke auf Start>
4. Klicke auf Ausführen>
5. Unter "Öffnen" nun "cmd /k sc delete $sys$aries" eintippen und "OK" drücken
6. Starte das System neu auf
7. Lösche folgendes Verzeichnis im Windows Explorer: C:\%WinDir%\system32\$sys$filesystem\aries.sys

(Ersetze %windir% mit dem Verzeichnis in welchem Windows auf deinem System installiert ist)

Wenn du dennoch ein AV-Programm bevorzugst, so kannst du eines der unten aufgeführten verwenden:

Symantec's Tool
Sopho's Tool

Die Microsoft-Methode:

Microsoft's Tool

Manuelle Beseitigung

Erklärung: In Microsoftkreisen heißt dieses Rootkit "WinNT/F4IRootkit".

Zitat von Microsoft: Die sicherste Methode dieses Rootkit wieder zu entfernen, bedarf in erster Linie einer aktuellen Sicherheitssoftware. Auf der Internetseite des "Windows Live Safety Security Centers", bietet sich die Möglichkeit, seinen Computer online nach einem evtl. Vorhandensein des "WinNT/F4IRootkits" und anderer bösartiger Software zu überprüfen (scannen).

Um ein System im Windows "Live Safety Center" nach bösartiger Software zu überprüfen, macht man folgendes:

1. Öffnen Sie ein neues Internet Explorer Browser Fenster
2. Geben Sie folgende URL in die Adressleiste ein: http://safety.live.com/site/en-US/default.htm
3. Klicken Sie nun auf "Full Service Scan"
4. Akzeptieren Sie die Dienstleistungsbestimungen, falls Sie danach gefragt werden.
5. Klicken Sie anschließend "Install now".
6. Wählen Sie "Quick Scan" (schnelle Überprüfung) oder "Complete Scan" (vollständige Überprüfung).

Alternativ lässt sich ab dem 13. Dezember 2005, auch das "Malicious Software Removal Tool" verwenden, um das "WinNT/F4IRootkit" von ihrem System zu entfernen. Für weitere Informationen zum Gebrauch des "Malicious Software Removal Tool", besuchen Sie bitte http://www.microsoft.com/security/ma...e/default.mspx..

Offizieller Patch von SonyBMG:

Sony XPC - Aurora Rootkit Removal Patch


[6.]Technische Details:

Das von Sony verwendete Rootkit wurde von der Firma XPC entwickelt. Es versteckt Dateien, Prozesse und Registrierungsschlüssel, welche mit den Zeichen $sys$ beginnen. Dies bedeutet, hat jemand dieses Rootkit auf seinem System installiert und erstellt eine simple Textdatei, ähnlich dieser $sys$test.txt, so wird er nicht in der Lage sein, sie anschließend auf seinem System "wiederzusehen/-finden". Das Rootkit hält sie von nun an vor den Augen des Users und vor dem System verborgen. Es legt seine Dateien unter\Windows\System32\$sys$filesystem ab. Sie werden künftig als Dienste automatisch bei Systemstart von der Registrierung geladen. Die korrespondierenden Registrierungseinträge, Datein und Verzeichnisse werden, solange das Rootkit aktiv ist, versteckt, da sie ebenfalls mit der Vorsilbe $sys$ beginnen.

Das XPC DRM/Rootkit installiert sich durch die Datei autorun.exe, die im Hauptverzeichnis der CD residiert. Dieses Programm wird beim Einlegen der CD automatsich gestartet und ausgeführt. Anschließend ruft es das Programm Content\GO.exe auf, welches die eigentliche Komponente beschreibt, von der die XPC-Installation vorgenommen wird. In der version.dat des Stamm- verzeichnises der CD ist die aktuelle Version des XPC-Installers gespeichert. Die von mir getestete CD enthielt die version.bat der Version 1.9.

Weiterhin erwähnenswert ist, daß das Programm Go.exe neben dem in der DRM-Software enthaltenen Rootkit auch noch einen Media Player mitinstalliert.

Im Rahmen der Installation werden folgende zwei Dienste mitinstalliert:

HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer

Außerdem werden diese Systemtreiber installiert:

HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM

Die $sys$aries ist der eigentliche Rootkit-"Dienst" und installiert folgende weitere Dienste auf dem System.
(Die restlichen Einträge gehören größtenteils zur DRM Software):

C:\Windows\System32\$sys$filesystem\$sys$DRMServer.exe
C:\Windows\System32\$sys$filesystem\$sys$parking
C:\Windows\System32\$sys$filesystem\aries.sys
C:\Windows\System32\$sys$filesystem\crater.sys
C:\Windows\System32\$sys$filesystem\DbgHelp.dll
C:\Windows\System32\$sys$filesystem\lim.sys
C:\Windows\System32\$sys$filesystem\oct.sys
C:\Windows\System32\$sys$filesystem\Unicows.dll
C:\windows\CDProxyServ.exe
C:\windows\DbgHelp.dll
C:\windows\system32\$sys$caj.dll
C:\windows\system32\$sys$upgtool.exe
C:\windows\system32\AXPSupport.dll
C:\windows\system32\ECDPlayerControl.ocx
C:\windows\system32\InstallContinue.exe
C:\windows\system32\driver\$sys$cor.sys
C:\windows\system32\TMPX\APIX.vxd
C:\windows\system32\TMPX\ASPIENUM.vxd
C:\windows\system32\TMPX\WNASPI.dll
C:\windows\system32\TMPX\WNASPI32.dll
C:\windows\system32\Unicows.dll

Die aries.sys ist das Rootkit selbst.

Obwohl man Sony schwer das Recht absprechen kann, ihre Produkte vor Mißbrauch zu schützen, kann eine solche Technologie leicht von Malware ausgenutzt werden, um bösartigen Code auf fremde Systeme zu übertragen. Dazu braucht ein Virenautor seinen Dateien lediglich die Zeichen- folge $sys$ voranstellen und schon hätte ein ahnungsloser User dieses Rootkit auf seinem System installiert. Auf diese Weise wird sich jede auf diesem Wege eingeschleuste Malware, sowohl vor dem User als auch vor AV-/Antispyware Software, verstecken können.

Schon allein die Veröffentlichung dieses Textes, brachte zwei weitere Trojanische Pferde zu Tage, welche eben diese Rootkit- technologie einsetzten,
um sich unsichtbar zu machen.


Diese Trojanischen Pferde sind:

Backdoor.Ryknos
Troj/Stinx-F




Verweis: Marc Russinovish of Sysinternals

Dies ist eine freie Übersetzung aus dem englischen Original von "Lawrence"
für bleepingcomputer.com


Antony