| |
VSantivirus No. 1959 Año 9, viernes 18 de noviembre de 2005
Rootkit.XCP. Detección para el rootkit de Sony
http://www.vsantivirus.com/rootkit-xcp.htm
Nombre: Rootkit.XCP
Nombre NOD32: Win32/Rootkit.XCP
Tipo: Caballo de Troya
Alias: Rootkit.XCP, SecurityRisk.First4DRM, Win32/Rootkit.XCP, XCP.Sony.Rootkit
Fecha: 17/nov/05
Plataforma: Windows 32-bit
Se trata de la detección para el componente "rootkit" del software de protección de derechos de autor utilizado por Sony-BMG.
El mismo es catalogado como troyano, ya que realiza acciones sin el conocimiento del usuario. Estas acciones pueden comprometer la seguridad del sistema.
El rootkit puede instalarse automáticamente cuando un consumidor inserta en su equipo un CD de música equipado con la tecnología XCP de derechos digitales.
Aunque se muestra una licencia de usuario final (EULA), la misma no aclara que la instalación de dicho software agrega un componente que sirve para ocultar archivos y otros recursos del sistema a los ojos del propietario del PC.
Si no se acepta la EULA, el CD es expulsado y no podrá ser reproducido. El software tampoco se instalará si no se tiene la opción de auto arranque activada.
XCP (Extended Copy Protection), es una tecnología incluida en el audio, e implementada desde mayo de 2005 por Sony BMG Music, para impedir que los usuarios realicen copias de CDs ya copiados, e infrinjan los derechos de autor. Básicamente, permite que los usuarios puedan hacer copias de respaldo de los CDs originales, pero bloquea cualquier intento de querer hacer "una copia de otra copia".
La aplicación no agrega ninguna opción de desinstalación.
El software de Sony se instala como un servicio de Windows con un nombre engañoso para hacer creer al usuario de que el mismo es parte de:
Plug and Play Device Manager
Cada segundo y medio, el servicio consulta todos los ejecutables primarios asociados con todos los procesos en ejecución, lo que genera constantes accesos al disco duro.
Uno de los componentes instalados, es un filtro que intercepta todas las llamadas al CD, impidiendo la reproducción de cualquier tema con un reproductor diferente al instalado por el programa de Sony.
El rootkit intercepta todas las llamadas por procesos, listados de directorio o entradas en el registro, impidiendo que el software instalado pueda ser visualizado por el usuario (cualquier recurso cuyo nombre comience con los caracteres "$SYS$" es también ocultado).
Si el software es eliminado sin una correcta desinstalación, el usuario puede dejar de ver la unidad de CD. Sony publicó un parche para eliminar el rootkit, y un desinstalador para borrar todo el programa de protección.
Crea el siguiente directorio, donde copia sus propios archivos (el directorio queda oculto):
\Windows\System32\$sys$filesystem
Instala dos servicios, creando las siguientes entradas en el registro:
HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer
También crea las siguientes entradas:
HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM
Además, crea los siguientes archivos:
C:\windows\CDProxyServ.exe
C:\windows\DbgHelp.dll
C:\windows\system32\$sys$caj.dll
C:\windows\system32\$sys$upgtool.exe
C:\windows\system32\AXPSupport.dll
C:\windows\system32\ECDPlayerControl.ocx
C:\windows\system32\InstallContinue.exe
C:\windows\system32\Unicows.dll
C:\Windows\System32\$sys$filesystem\$sys$DRMServer.exe
C:\Windows\System32\$sys$filesystem\$sys$parking
C:\Windows\System32\$sys$filesystem\aries.sys
C:\Windows\System32\$sys$filesystem\crater.sys
C:\Windows\System32\$sys$filesystem\DbgHelp.dll
C:\Windows\System32\$sys$filesystem\lim.sys
C:\Windows\System32\$sys$filesystem\oct.sys
C:\Windows\System32\$sys$filesystem\Unicows.dll
C:\windows\system32\driver\$sys$cor.sys
C:\windows\system32\TMPX\APIX.vxd
C:\windows\system32\TMPX\ASPIENUM.vxd
C:\windows\system32\TMPX\WNASPI.dll
C:\windows\system32\TMPX\WNASPI32.dl
Reparación manual del rootkit
Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm
Desinstalación del programa de protección de copias
UNINSTALL REQUESTS
http://cp.sonybmg.com/xcp/english/uninstall.html
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Más información:
Eliminación del rootkit XCP DRM de Sony-BMG
http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm
¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htm
Tecnología anticopia de Sony compromete la seguridad
http://www.vsantivirus.com/vul-xcp-sony.htm
ActiveX vulnerable en desinstalación de Sony XCP
http://www.vsantivirus.com/vul-codesupport-161105.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
