#contents
 
 ~
 
 *Mark's Sysinternals のもっと良い方法 [#lddfed54]
 via http://www.sysinternals.com/blog/2005/11/sony-no-more-rootkit-for-now.html
 >Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality. Unfortunately, all of the AV cleaners I’ve looked at disable it improperly by unloading it from memory - the same way Sony’s patch behaves - which as I noted previously, introduces the risk of a system crash. While they post disclaimers on their web sites to that effect, they should use the safe alternative that I described a couple of posts ago, which is to delete the rootkit’s registration from Windows so that it won’t activate when Windows boots:
 >
 >
 >1. Open the Run dialog from the Start menu
 >2. Enter “cmd /k sc delete $sys$aries”
 >3. Reboot
 
 アンチウイルスベンダーの rootkit 削除方法は SONY BMG のと同じで、不完全だ。システムクラッシュの可能性もあるし。それよか、もっと良い方法があるから公開するね。
 
 +スタートメニューから「ファイル名を指定して実行(R)...」を選択して、ダイアログボックスを開く 
 +次ののコマンドを実行する 
  cmd /k sc delete $sys$aries
 +再起動させる 
 
 
 *[[Muzzy's research about Sony's XCP DRM system:http://hack.fi/~muzzy/sony-drm/]] [#ae427150]
 >I've collected some of my findings about the Sony's XCP DRM rootkit here. Enjoy! I'm rewriting the page as new information is uncovered, so be sure to check again later.
 
 *このRootkitに感染しているかどうかのチェック [#yfed9ce6]
 +メモ帳で適当なファイルを作ってデスクトップ等すぐ見えるところへ保存する
 +その名前をCOLOR(red){$sys$test.txt}へ変更する
 --FAQにある COLOR(green){12.「$sys$」で始まるファイル、レジストリ、プロセス、サービス等を見えなくする}という機能を逆手にとります
 +名前変更後のファイルが見えていれば問題なし。突如として消えた場合は感染しています。
 
 *対策ツール類へのリンク [#e2be06b4]
 -[[ソフォス、トロイの木馬が悪用する「隠ぺい」動作を検出、無効化するツールを導入:http://www.sophos.co.jp/pressoffice/news/articles/2005/11/stinxe.html]] @ Sophos.co.jp
 -[[Troj/RKProc-Fam and Troj/Stinx disinfection instructions:http://www.sophos.com/support/disinfection/rkprf.html]] @ Sophos.com(英語)
 --ソフォス、トロイの木馬が悪用する「隠ぺい」動作を検出、無効化するツールを導入
 ---ソニーの DRM コピー防止機能の検出と「隠ぺい動作」の解除
 
 *ウィルス定義ファイル [#v2f2d9cf]
 -[[XCP:http://www.mcafee.com/japan/security/virXYZ.asp?v=XCP]]
 --マカフィー
 
 *対策 [#jff2a761]
 +ソニー製品を買わない
 +自動再生機能を無効化で対応できるのかなあ...
 --[[Windows XPで自動再生機能を無効化する:http://www.mnet.ne.jp/~angie/kbase/xp-autorun.html]]