Sony использует хакерские методы для антипиратской защиты

Sony использует хакерские методы для антипиратской защиты

Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.

Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный rootkit, сообщает compulenta.ru.

Словом rootkit обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.

Сам Марк Руссинович является автором программы для обнаружения rootkit'ов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".

"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.

Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.

В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit'а - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).

На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.

Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.

Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit "нормальными" средствами невозможно.

"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.

Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.

"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys… зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.

Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.

После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.

По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.

Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.

"Это тот самый случай, когда Sony заходит со своими средствами DRM слишком уж далеко", - заканчивает свою статью Марк Руссинович.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.