Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Rootkit.XCP. Detección para el rootkit de Sony
 
VSantivirus No. 1959 Año 9, viernes 18 de noviembre de 2005

Rootkit.XCP. Detección para el rootkit de Sony
http://www.vsantivirus.com/rootkit-xcp.htm

Nombre: Rootkit.XCP
Nombre NOD32: Win32/Rootkit.XCP
Tipo: Caballo de Troya
Alias: Rootkit.XCP, SecurityRisk.First4DRM, Win32/Rootkit.XCP, XCP.Sony.Rootkit
Fecha: 17/nov/05
Plataforma: Windows 32-bit

Se trata de la detección para el componente "rootkit" del software de protección de derechos de autor utilizado por Sony-BMG.

El mismo es catalogado como troyano, ya que realiza acciones sin el conocimiento del usuario. Estas acciones pueden comprometer la seguridad del sistema.

El rootkit puede instalarse automáticamente cuando un consumidor inserta en su equipo un CD de música equipado con la tecnología XCP de derechos digitales.

Aunque se muestra una licencia de usuario final (EULA), la misma no aclara que la instalación de dicho software agrega un componente que sirve para ocultar archivos y otros recursos del sistema a los ojos del propietario del PC.

Si no se acepta la EULA, el CD es expulsado y no podrá ser reproducido. El software tampoco se instalará si no se tiene la opción de auto arranque activada.

XCP (Extended Copy Protection), es una tecnología incluida en el audio, e implementada desde mayo de 2005 por Sony BMG Music, para impedir que los usuarios realicen copias de CDs ya copiados, e infrinjan los derechos de autor. Básicamente, permite que los usuarios puedan hacer copias de respaldo de los CDs originales, pero bloquea cualquier intento de querer hacer "una copia de otra copia".

La aplicación no agrega ninguna opción de desinstalación.

El software de Sony se instala como un servicio de Windows con un nombre engañoso para hacer creer al usuario de que el mismo es parte de:

Plug and Play Device Manager

Cada segundo y medio, el servicio consulta todos los ejecutables primarios asociados con todos los procesos en ejecución, lo que genera constantes accesos al disco duro.

Uno de los componentes instalados, es un filtro que intercepta todas las llamadas al CD, impidiendo la reproducción de cualquier tema con un reproductor diferente al instalado por el programa de Sony.

El rootkit intercepta todas las llamadas por procesos, listados de directorio o entradas en el registro, impidiendo que el software instalado pueda ser visualizado por el usuario (cualquier recurso cuyo nombre comience con los caracteres "$SYS$" es también ocultado).

Si el software es eliminado sin una correcta desinstalación, el usuario puede dejar de ver la unidad de CD. Sony publicó un parche para eliminar el rootkit, y un desinstalador para borrar todo el programa de protección.

Crea el siguiente directorio, donde copia sus propios archivos (el directorio queda oculto):

\Windows\System32\$sys$filesystem

Instala dos servicios, creando las siguientes entradas en el registro:

HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer

También crea las siguientes entradas:

HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM

Además, crea los siguientes archivos:

C:\windows\CDProxyServ.exe
C:\windows\DbgHelp.dll

C:\windows\system32\$sys$caj.dll
C:\windows\system32\$sys$upgtool.exe
C:\windows\system32\AXPSupport.dll
C:\windows\system32\ECDPlayerControl.ocx
C:\windows\system32\InstallContinue.exe
C:\windows\system32\Unicows.dll

C:\Windows\System32\$sys$filesystem\$sys$DRMServer.exe
C:\Windows\System32\$sys$filesystem\$sys$parking
C:\Windows\System32\$sys$filesystem\aries.sys
C:\Windows\System32\$sys$filesystem\crater.sys
C:\Windows\System32\$sys$filesystem\DbgHelp.dll
C:\Windows\System32\$sys$filesystem\lim.sys
C:\Windows\System32\$sys$filesystem\oct.sys
C:\Windows\System32\$sys$filesystem\Unicows.dll

C:\windows\system32\driver\$sys$cor.sys

C:\windows\system32\TMPX\APIX.vxd
C:\windows\system32\TMPX\ASPIENUM.vxd
C:\windows\system32\TMPX\WNASPI.dll
C:\windows\system32\TMPX\WNASPI32.dl


Reparación manual del rootkit

Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm


Desinstalación del programa de protección de copias

UNINSTALL REQUESTS
http://cp.sonybmg.com/xcp/english/uninstall.html


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Más información:

Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm

¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htm

Tecnología anticopia de Sony compromete la seguridad
http://www.vsantivirus.com/vul-xcp-sony.htm

ActiveX vulnerable en desinstalación de Sony XCP
http://www.vsantivirus.com/vul-codesupport-161105.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS