Der Begriff Rootkit beschreibt eine Technologie, die laufende Anwendungen und Prozesse vor dem Benutzer und eingesetzter Sicherheitstechnologie verbirgt. Rootkits setzen normalerweise bösartige Hacker und Programmierer von Malware ein, um ihre Spuren im System zu verbergen. Moderne Rootkits sind in der Lage, Systemabfragen abzufangen und eigene Prozesse damit unsichtbar zu machen.
Die üblichen auffälligen Zeichen, dass ein Programm abläuft - etwa eine EXE-Datei oder ein Prozess, der Speicher belegt - fehlten deshalb der neueren Rootkit-Generation meist. Als Beispiel nannten die Experten das Kit "Hacker Defender", dass verschlüsselt mit der Außenwelt über Port 135 kommuniziere, ohne Anwendungen zu stören, die den gleichen Port verwenden.
Sony BMG setzt seit März 2005 eine eigene Rootkit-Technologie ein, um das Digital Rights Management einiger CDs zu überwachen. Der Schutz nennt sich Extended Copy Protection (XCP).
XCP: Ursache ….
XCP ist einer von der Firma First 4 Internet entwickelter Kopierschutz für CDs und DVDs. In der Software ist eine DRM-Technologie enthalten, die dem Nutzer eine festgelegte Anzahl an Kopien erlaubt. Ebenso lässt sich die Umwandlung in ein digitales Musikformat oder das Überspielen auf MP3-Player regeln und beschränken.
Aktuelle kopiergeschützte Sony BMG CDs starten eine Installtionsroutine, sobald sie in einen Rechner eingelegt werden. Diese legt einen Software-CD-Player auf der Festplatte ab und installiert gleichzeitig den XCP-DRM-Schutz.
XCP verändert die Windows-Registry und trägt zwei neue Werte in die Autostart-Funktion ein:
HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer
Der erste Wert erhält den Namen, „XCP CD Proxy“, der zweite heißt später „Plug and Play Device Manager“. Da der Name auch von Windows selbst genutzt wird, sollen damit anscheinend Nutzer getäuscht werden, die den Prozess zufällig über das Dienst-MMC (service.msc) finden. Zusätzlich werden fünf Treiberdateien installiert:
HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM
… und Wirkung
Sobald die DRM-Software aktiv wird, werden sämtliche Registry-Einträge versteckt, die mit dem String $sys$ beginnen. Normalerweise sind das nur die Einträge, die XCP selbst tätigt.
Die Anwendung tarnt sich so gut, dass sie nicht im „Programme hinzufügen/entfernen“-Dialog von Windows auftaucht. Des Weiteren sind keine Deinstalltionsroutinen auf der CD oder der Homepage der Entwickler erhältlich. Die EULA des Programms enthält dazu ebenfalls keinerlei Informationen
Die neuen Treiber, die XCP installiert, tragen die Namen Crater.sys und Cor.sys. Crater.sys überwacht die CD/DVD-Laufwerke im Low-Filter-Bereich, Cor.sys sitzt im IDE-Channel-Device.
Probleme vor und nach der Entfernung
XCP überprüft nicht ausreichend, welches Programm die $sys$-Einträge erzeugt. Damit öffnet Sony BMG den Entwicklern von Malware Tür und Tor. Diese müssen sich in Zukunft nicht mehr um einen eigenen Tarnmechanismus kümmern, sonder können einfach XCP mitnutzen.
Durch die Tarnmechanismen schlagen Rootkit-Scanner wie Blacklight von F-Secure oder RootkitRevealer von Sysinternals sofort Alarm. Problematisch wird es allerdings, wenn die Software die gefundenen Dateien entfernt.
Dank der Treiber Crater.sys und Cor.sys ist der Kopierschutz so tief im System verwurzelt, dass die entsprechenden Laufwerke nach der Säuberungsaktion und einem anschließenden Neustart teilweise nicht mehr ansprechbar waren. Mark Russinovich, ein Windows- und Sicherheitsexperte bei Sysinternals, erklärt, dass er nur mittels des Programms PsExec auf die lokale Registry zugreifen und die entsprechenden Werte löschen konnte. In seinem Blog zeigt der Experte außerdem detailliert auf, wie er dem Rootkit auf die Schliche kam.
Fazit
Sony BMG ist mit diesem Kopierschutz zu weit gegangen. Erstens ist er unsauber erstellt und erleichtert es Malware-Schreibern, die Schadsoftware auf dem System zu platzieren. Zweitens lässt er sich nicht ohne weiteres entfernen. Jeder Rootkit-Detektor wird bei XCP anschlagen. Sobald nun der Nutzer das Programm entfernt, wird der Zugriff auf die Laufwerke wahrscheinlich gesperrt. Für den Normalnutzer, der sich nicht an das manuelle Verändern der Registry wagt, bleibt unter Umständen nur die Neuinstallation.
F-Secure rät im Blog der Firma, Sony BMG direkt über ein Web-Formular anzuschreiben, falls ein Rootkit-Detektor die Software auf dem System entdeckt. Nach den Erfahrungen des Anti-Viren-Hersteller erhalte man dann eine passende Software zum Entfernen von XCP.
Stellungnahme Sony BMG Deutschland:
Auf Nachfrage von tecCHANNEL teilt die Pressestelle von Sony BMG mit, dass in Deutschland ausgelieferten CDs keinen Kopierschutz enthalten. Probleme mit XCP können höchstens bei aus den USA importierten CDs vorkommen. Weitere Informationen könne man nicht geben. (mja)