削除ツール

Lavasoftもソニーrootkit削除ツールを公開する

via MSがウイルス削除ツールの新版公開、ソニーBMGのrootkitに対応の42

ARIES Rootkit Remover (Sony Rootkit)

In 2005, Sony included rootkit style content protection software toapproximately 4.7 million CDs of over 50 artists worldwide exposingconsumer PCs to security holes. The DRM (Digital Rights Management)software called XCP, developed by First4Internet, was placed. Accordingto Sony, about six million CDs currently have this software.

Lavasoft answers the challenge by giving you the Beta of the ARIES RootkitRemover? (Sony Rootkit), which aims to remove the Sony Rootkit for good.Currently a standalone tool, this application provides a reliable, trustworthy,and safe way of removing the root-kit, unlike Sony's own root-kit removerthat has been known to cause blue screens.

Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)

Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)

このセキュリティ更新プログラムに関するよく寄せられる質問

Q. この更新プログラムはそのほかのセキュリティ関連の変更を含みますか?

A. はい。このセキュリティ情報の「脆弱性の詳細」の欄に記載されている変更および以前の Internet Explorer に関するセキュリティ情報で導入された変更のほかに、この累積的な更新プログラムは次の多層防御の改善点を導入します。

この累積的な更新プログラムは First4Internet XCPアンインストーラ ActiveX コントロール Kill Bit を設定します。ActiveX コントロールに関する詳細情報については、SONY BMG のWeb サイト をご覧ください。このコントロールの古いバージョンにはセキュリティの脆弱性が存在していることが判明しました。このコントロールをインストールしたお客様を保護するため、この更新プログラムを適用すると Internet Explorer で古いバージョンのコントロールが実行されなくなります。すでにサポートされていないこのコントロールの古いバージョンに Kill bit を設定することで、コントロールの実行を防ぎます。この Kill bit は、ActiveX コントロールの管理者の許可と共に設定されます。Kill bit に関する詳細情報は、マイクロソフト技術情報 240797 をご覧ください。この ActiveX コントロールのクラス識別子 (CLSIDs) は以下の通りです。

-4EA7C4C5-C5C0-4F5C-A008-8293505F71CC

-7965A6FD-B383-4658-A8E0-C78DCF2D0E63

-9A60A782-282B-4D69-9B2A-0945D588A125

-80E8743E-8AC5-46F1-96A0-59FA30740C51

また、この累積的なセキュリティ更新プログラムには、COM オブジェクトが Internet Explorer で実行可能になる以前の、マイクロソフトセキュリティ情報 MS05-052 で導入されたチェックが含まれています。 この変更の意図は、Internet Explorer でインスタンス化されるよう設計されなかった COM オブジェクトが Internet Explorer でインスタンス化されないようにすることです。

Microsoft Windows 悪意のあるソフトウェアの削除ツール (KB890830)

Microsoft? Windows? 悪意のあるソフトウェアの削除ツール (KB890830)

このツールの現在のバージョンが駆除できる悪意のあるソフトウェアの一覧とツールの使用方法については、KB890830 を参照してください。また、このツールを実行すると、感染が確認された場合やエラーが検出された場合に、マイクロソフトに匿名によるレポートが送信されますのでご注意ください。上記のサポート技術情報には、この機能を無効にする方法とマイクロソフトに送信される情報の内容が記載されています。

SystemInternals?

RootkitRevealer

2005-12-31 (土) 14:32:20

Ad-Awareで有名なLavasoftによるRootkit除去ソフト、完成したようだ。 Attorney General Abbott slaps SONY with new spyware violations

Ad-Awareで有名なLavasoftによるRootkit除去ソフト、完成したようだ。
Lavasoft ARIES Rootkit Remover 1.0

現在までの削除ツール対応状況

★現在のところ提供されているのは、rootkit部分の削除機能のみ。$sys$により隠蔽されていた物が見えるようになるところまでです。著作権管理(DRM)機能はそのまま動いています。この状態では権限の不正な昇格を許すセキュリティホールが開いたままです。DRM機能を完全に削除するアンインストーラはまだ提供されていません。

Sony BMGによる対応 使うべからず!!!

  1. Web画面からメールアドレスを含む削除依頼を入力させ、rootkit部分を削除するActiveXをオンラインで実行させる方法
    →これを実行することによりセキュリティ大ホールが開くことが発覚し、現在閉鎖
    →もしやってしまった人は、以下の方法で問題のActiveXを削除すること
    • 元のActiveX実行ユーザ(Administrator権限)でWindowsにログオン
    • 「スタート」ボタン→「ファイル名を指定して実行(R)」
    • 以下のテキストを入力欄に貼り付ける(一行で)
      cmd /k del "%windir%?downloaded program files?codesupport.ocx"
    • 「OK」ボタンを押して実行
      ここまで実行すると、次の状態になります。
      • rootkit → 削除済み
      • ActiveXによるセキュリティ大ホール → 修復済み
      • DRM機能 → 稼働中
  2. 削除用オフラインツールをこのリンクからダウンロードさせ、実行させる
    →このツールにも、問題のあったバージョンと同じモジュールが使われているらしい

アンチウィルス各社による対応

検出ツール

チェック方法

197 :番組の途中ですが名無しです :2005/11/20(日) 00:02:04 ID:i7beFOY40 これウイルスがアクセスしているアドレスに
自PCがしているかどうか調べるにはどうしたら良いのか?

そんな俺はvaio使い
どう見ても負け組です。本当にありがry

200 :番組の途中ですが名無しです :2005/11/20(日) 00:24:07 ID:PW9kbQh20 >>197
どっかのスレで見たけど

ipconfig /displaydns~

で最近ひいたアドレスが見られるらしい


201 :番組の途中ですが名無しです :2005/11/20(日) 00:44:46 ID:/OIf9E2H0 >>200
本当だ。知らんかった。

>>197
というわけで、

スタート→プログラム→アクセサリ→コマンドプロンプトを起動し、
以下の文字列をコピペして実行するとC:?にsonylog.txtができる。

ipconfig /displaydns > C:?sonylog.txt

以下中の人からの追記:
このsonylog.txtの中にあるアドレスが接続先ホスト一覧と一致するなら感染してる可能性有り。多分。

Mark's Sysinternals のもっと良い方法

via http://www.sysinternals.com/blog/2005/11/sony-no-more-rootkit-for-now.html

Unfortunately, there has been some confusion with regard to the level of cleaning that antivirus (AV) companies are providing for the rootkit. Some articles imply that AV companies remove all of the Sony DRM software in the cleaning process, but they are in fact only disabling and removing the Aries.sys driver that implements the rootkit cloaking functionality. Unfortunately, all of the AV cleaners I’ve looked at disable it improperly by unloading it from memory - the same way Sony’s patch behaves - which as I noted previously, introduces the risk of a system crash. While they post disclaimers on their web sites to that effect, they should use the safe alternative that I described a couple of posts ago, which is to delete the rootkit’s registration from Windows so that it won’t activate when Windows boots:

1. Open the Run dialog from the Start menu

2. Enter “cmd /k sc delete $sys$aries”

3. Reboot

アンチウイルスベンダーの rootkit 削除方法は SONY BMG のと同じで、不完全だ。システムクラッシュの可能性もあるし。それよか、もっと良い方法があるから公開するね。

  1. スタートメニューから「ファイル名を指定して実行(R)...」を選択して、ダイアログボックスを開く
  2. 次ののコマンドを実行する
    cmd /k sc delete $sys$aries
  3. 再起動させる

Muzzy's research about Sony's XCP DRM system

I've collected some of my findings about the Sony's XCP DRM rootkit here. Enjoy! I'm rewriting the page as new information is uncovered, so be sure to check again later.

このRootkitに感染しているかどうかのチェック

  1. メモ帳で適当なファイルを作ってデスクトップ等すぐ見えるところへ保存する
  2. その名前を$sys$test.txtへ変更する
    • FAQにある 12.「$sys$」で始まるファイル、レジストリ、プロセス、サービス等を見えなくするという機能を逆手にとります
  3. 名前変更後のファイルが見えていれば問題なし。突如として消えた場合は感染しています。

対策ツール類へのリンク

ウィルス定義ファイル

対策

  1. ソニー製品を買わない
  2. 自動再生機能を無効化で対応できるのかなあ...