#contents

*削除ツール [#l4d2b44a]

**Lavasoftもソニーrootkit削除ツールを公開する [#j3348954]
via [[MSがウイルス削除ツールの新版公開、ソニーBMGのrootkitに対応:http://news19.2ch.net/test/read.cgi/news/1134522214/42]]の42~

[[ARIES Rootkit Remover (Sony Rootkit) :http://www.lavasoftresearch.com/betaprogram/rootkit.php]]

>In 2005, Sony included rootkit style content protection software toapproximately 4.7 million CDs of over 50 artists worldwide exposingconsumer PCs to security holes. The DRM (Digital Rights Management)software called XCP, developed by First4Internet, was placed. Accordingto Sony, about six million CDs currently have this software.~
>~
>Lavasoft answers the challenge by giving you the Beta of the ARIES RootkitRemover (Sony Rootkit), which aims to remove the Sony Rootkit for good.Currently a standalone tool, this application provides a reliable, trustworthy,and safe way of removing the root-kit, unlike Sony's own root-kit removerthat has been known to cause blue screens. 




**Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054) [#hfe2e944]
[[Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054):http://www.microsoft.com/japan/technet/security/bulletin/MS05-054.mspx]]

>このセキュリティ更新プログラムに関するよく寄せられる質問
>Q. この更新プログラムはそのほかのセキュリティ関連の変更を含みますか?~
>~
>A. はい。このセキュリティ情報の「脆弱性の詳細」の欄に記載されている変更および以前の Internet Explorer に関するセキュリティ情報で導入された変更のほかに、この累積的な更新プログラムは次の多層防御の改善点を導入します。

>この累積的な更新プログラムは First4Internet XCPアンインストーラ ActiveX コントロール Kill Bit を設定します。ActiveX コントロールに関する詳細情報については、SONY BMG のWeb サイト をご覧ください。このコントロールの古いバージョンにはセキュリティの脆弱性が存在していることが判明しました。このコントロールをインストールしたお客様を保護するため、この更新プログラムを適用すると Internet Explorer で古いバージョンのコントロールが実行されなくなります。すでにサポートされていないこのコントロールの古いバージョンに Kill bit を設定することで、コントロールの実行を防ぎます。この Kill bit は、ActiveX コントロールの管理者の許可と共に設定されます。Kill bit に関する詳細情報は、マイクロソフト技術情報 240797 をご覧ください。この ActiveX コントロールのクラス識別子 (CLSIDs) は以下の通りです。
>
>-4EA7C4C5-C5C0-4F5C-A008-8293505F71CC
>-7965A6FD-B383-4658-A8E0-C78DCF2D0E63
>-9A60A782-282B-4D69-9B2A-0945D588A125
>-80E8743E-8AC5-46F1-96A0-59FA30740C51
>
>また、この累積的なセキュリティ更新プログラムには、COM オブジェクトが Internet Explorer で実行可能になる以前の、マイクロソフトセキュリティ情報 MS05-052 で導入されたチェックが含まれています。 この変更の意図は、Internet Explorer でインスタンス化されるよう設計されなかった COM オブジェクトが Internet Explorer でインスタンス化されないようにすることです。


**Microsoft Windows 悪意のあるソフトウェアの削除ツール (KB890830) [#c5c11b1f]
[[Microsoft? Windows? 悪意のあるソフトウェアの削除ツール (KB890830):http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=ja]]

>このツールの現在のバージョンが駆除できる悪意のあるソフトウェアの一覧とツールの使用方法については、KB890830 を参照してください。また、このツールを実行すると、感染が確認された場合やエラーが検出された場合に、マイクロソフトに匿名によるレポートが送信されますのでご注意ください。上記のサポート技術情報には、この機能を無効にする方法とマイクロソフトに送信される情報の内容が記載されています。 

*SystemInternals [#t3333e96]
[[RootkitRevealer:http://www.sysinternals.com/utilities/rootkitrevealer.html]]
--rootkitがインストールされてないかどうかを調べるツールみたい。当方マカーなので試せません。


*現在までの削除ツール対応状況 [#wea15209]
★現在のところ提供されているのは、rootkit部分の削除機能のみ。$sys$により隠蔽されていた物が見えるようになるところまでです。著作権管理(DRM)機能はそのまま動いています。この状態では権限の不正な昇格を許すセキュリティホールが[[開いたままです:http://xforce.iss.net/xforce/alerts/id/208]]。DRM機能を完全に削除するアンインストーラはまだ提供されていません。

**Sony BMGによる対応 COLOR(red){使うべからず!!!}[#d8cf2aaa]
+[[Web画面:http://cp.sonybmg.com/xcp/english/form8.html]]からメールアドレスを含む削除依頼を入力させ、rootkit部分を削除するActiveXをオンラインで実行させる方法~
→これを実行することによりセキュリティ大ホールが開くことが発覚し、現在閉鎖~
→もしやってしまった人は、以下の方法で問題のActiveXを削除すること
--元のActiveX実行ユーザ(Administrator権限)でWindowsにログオン
--「スタート」ボタン→「ファイル名を指定して実行(R)」
--以下のテキストを入力欄に貼り付ける(一行で)~
 cmd /k del "%windir%\downloaded program files\codesupport.ocx"
--「OK」ボタンを押して実行~
ここまで実行すると、次の状態になります。
---rootkit → 削除済み
---ActiveXによるセキュリティ大ホール → 修復済み
---DRM機能 → 稼働中
+削除用オフラインツールを[[このリンク:http://updates.xcp-aurora.com/]]からダウンロードさせ、実行させる~
→このツールにも、問題のあったバージョンと同じモジュールが使われている[[らしい:http://updates.xcp-aurora.com/]]。
~

**アンチウィルス各社による対応 [#te01b455]
-各社から、rootkit部分を削除するための定義ファイル・ツールが提供されているが、システムクラッシュを引き起こす可能性が指摘されている。


*検出ツール [#z13d5c71]

**チェック方法 [#n79b1683]
197 :番組の途中ですが名無しです :2005/11/20(日) 00:02:04 ID:i7beFOY40
これウイルスがアクセスしているアドレスに~
自PCがしているかどうか調べるにはどうしたら良いのか?~

そんな俺はvaio使い~
どう見ても負け組です。本当にありがry
~
~
200 :番組の途中ですが名無しです :2005/11/20(日) 00:24:07 ID:PW9kbQh20
>>197~
どっかのスレで見たけど~

 ipconfig /displaydns~

で最近ひいたアドレスが見られるらしい~
~
~
201 :番組の途中ですが名無しです :2005/11/20(日) 00:44:46 ID:/OIf9E2H0
>>200~
本当だ。知らんかった。~

>>197~
というわけで、~

スタート→プログラム→アクセサリ→コマンドプロンプトを起動し、~
以下の文字列をコピペして実行するとC:\にsonylog.txtができる。~

 ipconfig /displaydns > C:\sonylog.txt


以下中の人からの追記: ~
このsonylog.txtの中にあるアドレスが接続先ホスト一覧と一致するなら感染してる可能性有り。多分。

**Mark's Sysinternals のもっと良い方法 [#lddfed54]
via http://www.sysinternals.com/blog/2005/11/sony-no-more-rootkit-for-now.html
>Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality. Unfortunately, all of the AV cleaners I’ve looked at disable it improperly by unloading it from memory - the same way Sony’s patch behaves - which as I noted previously, introduces the risk of a system crash. While they post disclaimers on their web sites to that effect, they should use the safe alternative that I described a couple of posts ago, which is to delete the rootkit’s registration from Windows so that it won’t activate when Windows boots:
>
>
>1. Open the Run dialog from the Start menu
>2. Enter “cmd /k sc delete $sys$aries”
>3. Reboot

アンチウイルスベンダーの rootkit 削除方法は SONY BMG のと同じで、不完全だ。システムクラッシュの可能性もあるし。それよか、もっと良い方法があるから公開するね。

+スタートメニューから「ファイル名を指定して実行(R)...」を選択して、ダイアログボックスを開く 
+次ののコマンドを実行する 
 cmd /k sc delete $sys$aries
+再起動させる 


**[[Muzzy's research about Sony's XCP DRM system:http://hack.fi/~muzzy/sony-drm/]] [#ae427150]
>I've collected some of my findings about the Sony's XCP DRM rootkit here. Enjoy! I'm rewriting the page as new information is uncovered, so be sure to check again later.

**このRootkitに感染しているかどうかのチェック [#yfed9ce6]
+メモ帳で適当なファイルを作ってデスクトップ等すぐ見えるところへ保存する
+その名前をCOLOR(red){$sys$test.txt}へ変更する
--FAQにある COLOR(green){12.「$sys$」で始まるファイル、レジストリ、プロセス、サービス等を見えなくする}という機能を逆手にとります
+名前変更後のファイルが見えていれば問題なし。突如として消えた場合は感染しています。

**対策ツール類へのリンク [#e2be06b4]
-[[ソフォス、トロイの木馬が悪用する「隠ぺい」動作を検出、無効化するツールを導入:http://www.sophos.co.jp/pressoffice/news/articles/2005/11/stinxe.html]] @ Sophos.co.jp
-[[Troj/RKProc-Fam and Troj/Stinx disinfection instructions:http://www.sophos.com/support/disinfection/rkprf.html]] @ Sophos.com(英語)
--ソフォス、トロイの木馬が悪用する「隠ぺい」動作を検出、無効化するツールを導入
---ソニーの DRM コピー防止機能の検出と「隠ぺい動作」の解除

**ウィルス定義ファイル [#v2f2d9cf]
-[[XCP:http://www.mcafee.com/japan/security/virXYZ.asp?v=XCP]]
--マカフィー

*対策 [#jff2a761]
+ソニー製品を買わない
+自動再生機能を無効化で対応できるのかなあ...
--[[Windows XPで自動再生機能を無効化する:http://www.mnet.ne.jp/~angie/kbase/xp-autorun.html]]