Come previsto da quasi tutti gli esperti di sicurezza è arrivato il primo trojan che sfrutta la tecnologia DRM di Sony, studiata e applicata nei cd musicali per la protezione dei diritti di copyright.
Il trojan istalla sulle macchine infettate una backdoor per prendere il controllo del pc attraverso la rete IRC.
Una volta lanciato il malware crea il file $sys$drv.exe nella directory di sistema di Windows.
Crea inoltre le seguenti chiavi di registro visibili attraverso regedit:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "$sys$drv" = "$sys$drv.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "$sys$drv" = "$sys$drv.exe"
Una volta attivo, il trojan tenta di connettersi ad uno dei seguenti server IRC:
68.101.14.76:8080
24.210.44.45:8080
67.171.67.190:8080
35.10.203.93:8080
152.7.24.186:8080
Dove resta in ascolto per eventuali comandi da eseguire che possono essere:
– Download ed esecuzione di software da remoto
– Informazioni di sistema
F-secure nel frattempo ha rilasciato una versione beta di BlackLight che secondo quanto dichiarato dalla casa sarebbe in grado di eliminare virus e malware che sfruttano il rootkit per nascondersi nel pc
Intanto il mondo non sta a guardare e lo Stato della California intenta una causa contro Sony
Altre informazioni sulla backdoor da Kaspersky Labs
Informazioni aggiuntive e spiegazioni su come rimuovere il rootkit Sony
Update 17/11/2005: Microsoft rilascerà a giorni un sistema di identificazione e rimozione delle componenti del software XCP di Sony su Windows AntiSpyware beta, che è attualmente usato da milioni di utenti. Altre info qui