Марк Руссинович, владелец блога Mark’s SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный
rootkit. Сам Марк Руссинович является автором программы для обнаружения rootkit’ов — RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная «живность».
«Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR», — пишет Руссинович. 
Перечисленные RKR файлы были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов. 

В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit’а — DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG — «Get Right with the Man» за авторством дуэта Van Zant).
На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.
Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.
Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit «нормальными» средствами невозможно.
«Вот тут я рассердился», — отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную… в результате чего его CD-привод перестал работать.
Оказалось, что разработка First 4 Internet «закапывается» в святая святых Windows, — HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться. 

«А вот теперь я был в бешенстве», — пишет Руссинович. и продолжает: «Windows поддерживает «фильтрацию», что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер — Crater.sys… зарегистрированный в
качестве нижнего фильтра», — пишет Руссинович.
Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, — с полномочиями Local System, — поскольку иначе этот фильтр оставался недоступным.
После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.
По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии — когда защищённый диск не воспроизводится — программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.
Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.
«Это тот самый случай, когда Sony заходит со своими средствами DRM слишком уж далеко», — заканчивает свою статью Марк Руссинович.

Оставить мнение