Menü

DVD-Kopiersperre Alpha-DVD: Update oder Uninstaller

Von
vorlesen Drucken Kommentare lesen 297 Beiträge

Die deutsche DVD des Films "Mr. & Mrs. Smith" enthält eine Kopiersperre, die auf Windows-Rechnern die Brennfunktionen beeinträchtigen und eine Sicherheitslücke öffnen kann. Die Sperre heißt Alpha-DVD und stammt vom koreanischen Hersteller Settec, einer ehemaligen Abteilung des Elektronikkonzerns LG.

Erste Details zu den Nebenfolgen der Kopiersperre wurden Anfang Februar bekannt. Mitte Februar kristallisierte sich heraus, dass sich mit der Tarnkappenfunktion von Alpha-DVD auch weitaus bösartigere Programme vor dem System verstecken können. Die DVD "Mr. & Mrs. Smith" wurde von der Kinowelt GmbH veröffentlicht. Kinowelt und Settec bestritten zunächst, dass die Kopiersperre Brennvorgänge blockieren würde.

Erst nach der Veröffentlichung der Sicherheitsanalyse von heise Security gab Settec zu, dass es auch beim Brennen von Daten-Medien zu Unregelmäßigkeiten kommen könnte. Kurz nach dem Verkaufsstart von "Mr. & Mrs. Smith" stellte Settec betroffenen Anwendern einen Uninstaller für Alpha-DVD und mittlerweile auch ein Update für die Kopiersperre zur Verfügung sowie eine FAQ für Anwender – leider nur auf Englisch.

Laut Kinowelt wurde die DVD von "Mr. & Mrs. Smith" bis Anfang März mindestens eine Million Mal verliehen; 500.000 Exemplare kamen in diesem Zeitraum in den Handel. Dennoch hat der Verleih bislang keine Rückrufaktion in Gang gesetzt oder eine Zweitpressung ohne Alpha-DVD veranlasst. Immerhin schickt Kinowelt betroffenen Kunden ohne Internet-Anschluss das Deinstallationsprogramm von Settec auf Anfrage auf CD zu. Bisher wollte Kinowelt nicht ausschließen, Alpha-DVD auf künftigen Titeln wieder einzusetzen.

Anders als das Deinstallationsprogramm verlangt der von Settec bereitgestellte Updater einen Neustart des Systems, um die Kopiersperre zu aktualisieren. Das Update installiert die überarbeitete Kopiersperre als "settecalphadisc.exe" und "hadl.dll" im system32-Verzeichnis. Im Unterschied zur Ursprungsversion behauptet die Kopiersperre nicht mehr, von "MS Corp." zu stammen, sondern gibt ihren Urheber als "Settec, Inc." zu erkennen. "settecalphadisc" bezeichnet sich aber immer noch als "System Helper" und klinkt sich weiterhin in der Registrierungsdatenbank als "SystemManager" ein. Die neue "hadl.dll" gibt weder Hinweise auf den Hersteller noch ihre Funktion. Beide Dateien zeigen als Revisionsnummer 1.0.4.0 an. Die auf der DVD von "Mr. & Mrs. Smith" enthaltene Sperre trägt die Versionsnummer 1.0.3.5.

Nach dem Update gibt sich Alpha-DVD im Windows-eigenen Task-Manager als "settecalphadisc.exe" zu erkennen. Von der Tarnkappenfunktion abgesehen, benimmt sich das Programm weitgehend wie die Vorgängerversion und schiebt anderen Windows-Prozessen eine DLL unter, die das System in regelmäßigen Abständen nach ASPI- und ASAPI-Treibern abklopft. Angeblich geht die aktualisierte Variante dabei weniger rabiat vor als zuvor und beeinträchtigt daher keine Brennvorgänge mehr. Diese Behauptung konnte heise online bislang nicht überprüfen.

Settec will seine Kopiersperre nicht als "Rootkit" verstanden wissen und bezeichnet das Windows-Programm als "Alpha Agent". In der englischsprachigen FAQ auf seinen Webseiten erklärt der Hersteller, Alpha-DVD sei deshalb kein Rootkit, weil vor der Installation um Erlaubnis gebeten werde und es eine Deinstallationsmöglichkeit gebe.

In der Kopierschutz-FAQ auf Amazon.de verteidigt die Kinowelt GmbH den missglückten Kopierschutz mit ähnlichen Argumenten wie Settec. Allerdings definiert Kinowelt den Begriff "Rootkit" als Programm, "das Daten ohne mein Wissen speichert und an Dritte sendet" – eine ziemlich strittige Auslegung des Worts. Weiterhin behauptet die FAQ auf Amazon.de: "Der Alpha-Kopierschutz versteckt keine Dateien, Verzeichnisse oder Registry-Einträge." Tatsächlich versteckt Alpha-DVD 1.0.3.5 seine Dateien nicht vor dem Betriebssystem, wie dies die Kopiersperre XCP auf US-amerikanischen Musik-CDs von Sony BMG tut ("Sony Rootkit"). Wohl verschleiert Alpha-DVD aber vor dem System und anderen Programmen, dass die Sperre aktiv ist. Zudem versucht Alpha-DVD, durch die Überwachung eines Registry-Eintrags eine Deaktivierung der Kopiersperre zu verhindern.

So können Anwender nur auf Umwegen herausfinden, ob Alpha-DVD auf ihrem Rechner eingerichtet ist. Die auf dem Windows-PC installierten Dateien werden in ein Systemverzeichnis mit möglichst unauffälligen Namen kopiert, wobei die .EXE der Kopiersperre bei jeder Installation anders heißt (u. a. "bootgui.exe" und "systemprop.exe").

Das beste Indiz für die Anwesenheit von Alpha-DVD auf dem System ist das Vorhandensein der Datei "hadl.dll" im Windows-Unterverzeichnis system32 (Dateigröße: 348 KByte bzw. 356 352 Bytes). Zudem findet sich ein Schlüssel namens "SystemManager" unter [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ policies\Explorer\Run] in der Registrierungsdatenbank. Diesen Schlüssel legt Alpha-DVD aber bereits an, wenn der Kopierschutz vor der Installation das Lizenzabkommen (EULA (End User License Agreement)) anzeigt. Lehnt der Anwender die EULA ab, kopiert Alpha-DVD die Kopiersperre zwar nicht auf die Festplatte, legt aber dennoch den Registry-Eintrag an.

Von der Beinträchtigung legitimer Brennvorgänge abgesehen, ist Alpha-DVD primär wegen der Versteckfunktion ein unerwünschter Gast auf dem Rechner. Die Kopiersperre selbst mag keine absichtlichen Schadfunktionen enthalten, doch können bösartige Programme mit wenigen Zeilen Code die Tarnkappe für sich in Anspruch nehmen, wodurch sie für den Task-Manager und Prozessbetrachter wie den Process Explorer von SysInternals unsichtbar werden. Das Sicherheitsprogramm BlackLight von F-Secure erkennt und deaktiviert Alpha-DVD zuverlässig. Der "RootkitRevealer" von SysInternals ignoriert die koreanische Kopiersperre hingegen.

In der EULA von Alpha-DVD suggeriert Settec im Übrigen, die Kopiersperre sei von unabhängigen Herstellern "geprüft und für unbedenklich erklärt" worden. Sowohl die Formulierungen der englischen als auch der deutschsprachigen EULA erzeugen den Eindruck, Microsoft sei einer dieser Hersteller. heise online gegenüber erklärte die Pressestelle von Microsoft Deutschland, der für derartige Prüfungen zuständigen Security Technology Unit habe Alpha-DVD nie zur Überprüfung vorgelegen.

Auf Anfrage von heise online erklärte die Kinowelt GmbH ursprünglich, sowohl die DVD "Edison" als auch "Mr. & Mrs. Smith" seien mit Alpha-DVD versehen worden. Auf letzterem Titel manifestiert sich die Sperre sowohl durch den Einsatz defekter Sektoren als auch durch die Installation versteckt laufender Windows-Treiber. Bei einer Überprüfung der Video-DVD "Edison" ergab sich jedoch, dass dieser Titel nur durch defekte Sektoren geschützt wird. Wer also die "Edison"-DVD in seinen Windows-PC eingelegt hat, muss sich keine Sorgen um mögliche Spätfolgen von Alpha-DVD machen. (ghi)

Anzeige
Anzeige