Sony- Musik- CD installiert ein Rootkit

Kopierschutz im Black Hat Style

Nachdem er seinen Rechner auf Rootkits checken ließ, war Mark Russinovich von sysinternals.com etwas verblüfft: obwohl er sorgfältig prüfe, was er installiert, fand das Programm eine Reihe versteckter Registryeinträge und Treiberverzeichnisse. Nach einiger aufwändiger Recherche fand er heraus, dass das vermeintliche Rootkit eine DRM - Applikation einer Sony - CD war, die er sich kürzlich gekauft hatte - und die, entgegen der Versprechungen der EULA, nicht leicht wieder zu deinstallieren war, sondern im Gegenteil nur durch eine Reihe von Tricks zu beseitigen war, in deren Verlauf man sich auch durchaus die CD - Laufwerke aus dem System schießen kann. Das Prozedere hat er ausführlich und anschaulich in seinem Blog dokumentiert.

Das Sony - DRM soll verhindern, dass man mehr als drei Kopien der CD anfertigen kann, und scannt zu diesem Zweck alle zwei Sekunden die laufenden .exe - Files durch: achtmal. Auch wenn man den Player beendet, bleibt das Programm im Hintergrund aktiv und frißt Systemressourcen. Russinovitch hatte kein Interesse daran, dass eine Applikation, die obendrein schlecht geschrieben war, permanent seinen Rechner belastet und löschte die - zuvor unter großem Aufwand erst sichtbar gemachten - Files und Registryeinträge von seinem Rechner. Dabei entdeckte er noch, dass sich die versteckten Treiber auch im abgesichterten Modus laden: Sony war ihr DRM offenbar wichtiger als das Interesse von Usern mit einem gecrashten System, ein nur mit den wichtigsten Treibern ausgestattetes OS booten zu können.

Nach dem Entfernen der Treiber und der Registryeinträge mußte Russinovich feststellen, dass seine CD-ROM - Laufwerke verschwunden waren: auch hier hatten sich getarnte Treiber installiert, die nun den Dienst verweigerten. Die nun nutzlosen Treiber ließen sich jedoch nicht einmal mehr löschen: erst über den Umweg des Local System Accounts waren die Treiber löschbar, und nach einem Reboot die Laufwerke wieder vorhanden.

Seine milde Zusammenfassung: Sony installiert Software, die in dieser Form in der Regel von Wurm- und Trojanerautoren verwendet wird, um ihre Präsenz auf dem Rechner zu verschleiern. Sie ist schlecht programmiert, frisst Systemressourcen und bietet keine Möglichkeit zur Deinstallation, obwohl dies von Sony in der EULA behauptet wird. Als gefährlichste Nebenwirkung betrachtet er die Möglichkeit, dass sich ein sicherheitsbewusster Anwender, der sein System regelmäßig auf Rootkits prüft, höchstwahrscheinlich das System zerschießt, wenn er versucht, die Malware zu entfernen. Und während er grundsätzlich DRM für eine verständliche Maßnahme hält und die beobachtete Sony - Lösung in diesem besonderen Fall für übertrieben und jenseits der "Balance" sieht, sind die Kommentare zu seiner Detektivarbeit eindeutiger: "It's lawsuit time, guys".

In der Tat ist die "Balance, von der Russinovitch spricht, kaum herzustellen. Entweder ein DRM tut, was es soll: dann muss es notwendigerweise dem User Rechte auf seinem System wegnehmen, mit welchen Mitteln auch immer, und wirksam unterbinden, dass der User sich diese wiederbeschaffen kann. Oder es tut dies nicht - dann sollte man sich den Aufwand von vorneherein sparen. In Anbetracht dessen, dasss Sony auf Wunsch Anleitungen verschickt, wie man ihr DRM umgeht, ist die zweite Möglichkeit eindeutig die sinnvollere.

• 16 Kommentare zum Artikel

• Uninstaller gibts auch, aber offenbar nur per Mail und nach Ausfuellen eines Webformulars: http://www.gulli.com/news/sony-verte...nd-2005-11-03/

  Korrupt am 03.11.2005 11:15

• wenn man die autostartfunktion ausschaltet, dann kann sich doch nichts von selbst installieren oder doch? dann kann man die tracks auch normal kopieren, rippen oder sonst was mit machen, oder sind die tracks auch nochmal irgendwie geschützt?

  spunky am 03.11.2005 11:49

• konnte denn bisher sichergestellt werden, dass sich diese software mit benutzerrechten nicht installiert? dazu habe ich in den blogeintrag von mark Russinovich nichts gefunden. außerdem wäre es interessant, wie der treiber installiert wird, ohne dass die warnmeldung erscheint, dass der treiber nicht signiert ist (oder ist er etwa signiert und wenn ja von wem?)

  ->dh<- am 04.11.2005 15:49

• [q]wenn man die autostartfunktion ausschaltet, dann kann sich doch nichts von selbst installieren oder doch?[/q] Richtig, du darfst natürlich dann auf keinen fall diesen "Player" starten... [q]konnte denn bisher sichergestellt werden, dass sich diese software mit benutzerrechten nicht installiert? dazu habe ich in den blogeintrag von mark Russinovich nichts gefunden.[/q] Wenn das gehen würde, wäre das eine riesige Schwachstelle ...

  aNtiCHrist am 04.11.2005 16:12
• [...] Diskussion lesen oder Artikel kommentieren