概要 †
SONY BMG が CD に仕込ませた rootkit の詳しい技術解説(日本語)
via 366 :名無しさん@6周年 :2005/11/25(金) 18:30:18 ID:ZyTSSIIN0
ソニーウィルス基本情報1 †
- ウイルス名: XCP
- 別名: SecurityRisk.First4DRM (Symantec),XCP.Sony.Rootkit (CA)
- 種別: プログラム
- 感染プラットフォーム: Windows
- 発病1: 削除を試みる
- 症状1: Windowsの一部を破損し、以後CD-ROMドライブ等を使用不能にする
- 発病2: 音楽CDからのデータ転送
- 症状2: 意図的にランダムノイズを付加し、正常なデータ転送を妨げる
- 発病3: 音楽CDの検出
- 症状3: ソニーミュージックエンターテイメントへの個人情報送信
- 分布状況: 推定210万枚販売
リンク集 †
ソニーウィルス基本情報2 †
- ウィルス名: MediaMax
- 分布状況: 推定2400万枚販売
- 発病条件: XCP とほぼ同じ
- 症状: XCPとほぼ同じ。
- 感染プラットフォーム: Windows,MacOSX
- 要注意事項: インストール時に「同意しない」を選択しても感染するので取扱には極めて注意すること。
- ステルス挙動なXCPに対して、こちらはファイルが見える。
※つまりrootkitではなく、スパイウェア。
- その代わりというか、「認証とは無関係にインスコされる」。(゚Д゚ )
※C:?Program Files?Common Files?SunnComm Shared?ファイルが勝手に作成。
- 当然アンインストーラーは無い。
- 有る場合でも、機能を司る”ドライバ部分がアクティブ”で残る。(゚Д゚ )
- やっぱり個人情報が製作元のSuncomm社に送信されてるらしい。
- Macにも対応している。(ただ、Macでオートランはできない)
【MediaMax DRM おさらい】
The Electronic Frontier Foundation (EFF)の訴訟は、XCPだけでなく
『MediaMax DRM』というコピーガードを使ったCDも取り上げている為に、
対象となる件数がとんでもない。
あくまでもEFFによる概算だが、XCPの約210万枚に対して約2000万枚。(これは生産出荷数ではなく、末端消費者に販売された数量)これを回収するなんて非現実的に思えるが、アメリカでは以前ジョンソン&ジョンソン社が3100万本の薬を回収した前例があるw。
リンク集 †
両者の違い †
461 :It's@名無しさん :2005/11/27(日) 01:04:10
まとめが各所に張りまくってあるが、間違いがあるので訂正するぞ。自然発火はいいが、放火はマズイしな。
【XCP】音楽ソフトの使用承諾を許可するとインスコされる。
【Media Max】使用承諾に関わらずオートラン状態でインスコされる。
【XCP】自分の姿をステルス化する。
【Media Max】普通に見える。
この2点の差は混同すると、あとで面倒だ。
あとオマケ。
【Media Max 感染チェック法】
自分のPCの汚染を確認するだけなら今でも可能だ。
スタート→「ファイル名を指定して実行」→cmd /k sc query sbcphid
これでDOS画面が開いて "STATE: 4 RUNNING" が表示されてるなら、ドライバ絶賛稼動中。
エクスプローラを覗いて『c:?windows?system32?drivers?』中に『sbcphid.sys』ファイルがあれば確定。
アンインストーラーは無い(有っても無効)から、削除ツールが出るまで待つしかないだろう。こっちは情報が少なすぎるから。
動作 †
削除方法 †
今のところ無し。公式なアンインストーラも存在するが,逆にセキュリティホールを広げることになるので止めた方がいい。
確実かつベストな方法としてはOSのリカバリ(再インストール)である。ただし,上書きインストールではなく,フォーマットしてインストールをするべき。
具体的な問題点 †
2005-11-22 (火) 15:50:52修正
- ソニーBMGの公式発表によれば、問題盤は52タイトルに及ぶ事
- 上記のCDが日本国内で流通している事
- 日本国内盤が安全かどうかもわからない事
- 完全に駆除するツールが配布されていない事
- 手動で削除しようとすると、コンピュータに深刻な被害が発生し得る事
- 内容が明らかでない何らかの情報をソニーBMGに送信している事
- 無断で無関係な一般CDのリッピングまでをもノイズ挿入により妨害する事
- 当該ソフトを利用するトロイの木馬がすでに複数種確認されている事
- PCのリソースを常に数%使用し続ける事
- 使用許諾に同意すると、その記述を逸脱したソフトが導入される事
- 自プロセスを隠蔽しつつ動作する事
- 「$sys$」で始まるファイル、フォルダ、レジストリ、プロセス等を見えなくする事
- 12.を利用してウィルスが隠れた場合、発見がきわめて困難となる事
- 米Microsoftを含む複数のベンダからウィルスと認定された事
- 米国国土安全保障省を含む複数の政府機関が懸念を表明した事
- 複数の国家において刑法違反のおそれがある事
- 問題のプロテクトを回避すると法的責任を問われかねない事
- 使用許諾に同意しなくとも一部問題機能が動作している疑いのある事
- 他者のライセンス(LGPL)違反の疑いのある事
- 2005年3月の初出以来8ヶ月以上、問題盤が放置されていた事
- ITmediaのblogや2chなどで、複数の日本人による被害報告が出ている事
- 報道によれば、日本がトップ感染国(最低21万台、2位の米国13万台)である事
- 22.が事実なら、件の米国盤とは別の感染経路の存在が推定される事
- 開発元こそ異なるものの、Mac OS Xにも影響があり得る事
- クラッカーが一般ユーザーをAdministrator権限に昇格させられ得る事
- 初期のソニーBMG配布問題修正ツールを実行したPCが、深刻なリスクを抱える事
- 上記の欠陥を利用した攻撃がすでに確認された事