Sony-CD-Kopierschutz schlägt Wellen

7.11.2005: Mehr zum "Rootkit" auf Audio-CDs von Sony BMG (die übrigens nur in den USA vertrieben werden) auf einer separaten Seite.

3.11.2005: Verweise auf Meldungen auf Heise Online und weitere Korrekturen

Mark Russinovich von SysInternals hat sich eine Sony-CD gekauft (Get Right With The Man von Van Zant), den darauf befindlichen Media-Player für Windows installiert und irgendwann danach bemerkt, dass er einen versteckten Prozess im System hatte.

SysInternals ist allgemein für seine Systemanalysewerkzeuge und seine Kompetenz mit den Untiefen der Windows-Architektur bekannt. Autoruns, Process Explorer und Regmon werden häufig in c't-Artikeln erwähnt (Download-URL).

Russinovich hat nicht lange gebraucht, um den versteckten Treibern und deren Ursprung auf die Spur zu kommen. Die Treiber sind Teil von Sonys neuem Kopierschutz für den US-Markt, der von der britischen Firma First4Internet stammt und XCP2 - Press Protect heißt. Bei der Installation des Media Players schiebt First4Internet dem Windows-System einen Treiber unter, der alle mit $sys$ beginnenden Dateien und Verzeichnisse unsichtbar macht. Eine Möglichkeit zur Deinstallation der Treiber fehlt.

Russinovich beschreibt XCP nicht ganz unberechtigt als "Root Kit": XCP versteckt dreist auch Dateien, die nicht zum Kopierschutz gehört, Hauptsache ihr Name fängt mit der Zeichenfolge $sys$ an. Es dürfte nur eine Frage der Zeit sein, bis Entwickler trojanischer Pferde den übereifrigen Sony-Kopierschutz als ahnungslosen Helfer für ihr Versteckspiel vor den Spyware-Löschern missbrauchen.

In seinem Weblog beschreibt Russinovich im Detail, wie man XCP2 aus dem System bekommt. Kurz der erste Schritt, um festzustellen, ob man XCP auf dem eigenen Rechner hat: Unter "Start/Ausführen..." in die Eingabezeile "CMD" eingeben (ohne Anführungsstriche), dann in der Eingabeaufforderung die folgende Zeile angeben:

cd "%windir%\System32\$sys$filesystem"

Normalerweise sollte Windows antworten: "Das System kann den angegebenen Pfad nicht finden." Wechselt es dagegen in das angegebene Verzeichnis, sollte man mit einem "DIR" dessen Inhalt aufrufen. Findet sich darunter eine Datei "aries.sys", hat man XCP drauf. Warnung: Diese Datei nicht einfach so löschen! Aries.sys arbeitet als Filtertreiber, der sich in das CD-Dateisystem einklinkt. Löscht man die Datei, scheitert der Zugriff auf das CD/DVD-Laufwerk (kein ganz unbekanntes Problem).

Zur Deinstallation gilt es also, händisch einige "lower filters" aus der Systemregistrierung zu entfernen, Details bietet Mark Russinovichs Blog. Alternativ dazu kann man auch bei Sony BMG ein Web-Formular ausfüllen. Der Hersteller stellt den Anwendern dann ein Hilfsprogramm zur Beseitigung der misslichen Situation bereit.

Weiterhin bieten sowohl Sony BMG als auch First4Internet ein "Service Pack 2" für XCP an. Der Text auf der Aurora-Website gibt sein Bestes, die Angelegeneheit herunter zu spielen:

This Service Pack removes the cloaking technology component that has been recently discussed in a number of articles published regarding the XCP Technology used on SONY BMG content protected CDs. This component is not malicious and does not compromise security. However to alleviate any concerns that users may have about the program posing potential security vulnerabilities, this update has been released to enable users to remove this component from their computers.
http://updates.xcp-aurora.com/

Der letzte Halbsatz ist unpräzise. Das Service Pack aktualisiert den Kopierschutz und entfernen dabei den Bestandteil, der mit der Zeichenfolge $sys$ beginnende Dateien und Verzeichnisse vor dem Anwender versteckt. Der eigentliche "Kopierschutzmechanismus" bleibt aber auf dem Rechner. Einen kompletten Uninstaller erhält man nur über das oben erwähnte Kontaktformular.

Weiterführende Links

• Heise Online: Sony BMGs Kopierschutz mit Rootkit-Funktionen
• Heise Online: Uninstaller für BMGs Kopierschutz-Rootkit
• Sony, Rootkits and Digital Rights Management Gone Too Far, Mark Russinovichs Beschreibung
• The "Sony Rootkit" Case im Weblog von F-Secure sowie eine technische Beschreibung der DRM-Software. (Auszug: "Although the software isn't itself malicious, the hiding techniques used are exactly the same that malicious software known as rootkits use to hide themselves. The DRM software will cause many similar false alarms with all AV software that detect rootkits.")
• Hidden files and directories - DRM or trojan? Probleme mit aries.sys -- Systemabstürze unter Windows XP SP2 Media Center Edition, Konflikte mit Norton Internet Security
• Sony BMG Entertainment - cp.sonybmg.com/xcp, Kontaktformular für Anwender mit XCP-Problemen. Ursprünglich bekam man Aktualisierungen des XCP-"Tools" bekommt man nur mit dem Internet Explorer und eingeschalteten ActiveX-Elementen. Mittlerweile bietet Sony BMG auch eine 3,x MByte große "Offline-Version" des "Service Packs" an.