Schädlinge missbrauchen XCP
Kopierschutz lockt Trojaner

Der stark kritisierte Kopierschutz, den Sony-BMG auf einigen seiner Musik-CDs versteckt, wird von Virenautoren zum einschleusen von Trojanern missbraucht.

hiz DÜSSELDORF. Die Antivirenexperten von H+BEDV und den Kaspersky Labs schlagen Alarm, weil erste Schädlinge aufgetaucht sind, die das Digital Rights Management-System (DRM) von Sony-BMG nutzen um Schadcode auf Rechnern zu verstecken. Wie Anfang des Monats bekannt wurde, verwendet Sony auf einigen mittels DRM kopiergeschützten CDs eine Software, die so genannte Rootkit-Technologien nachbildet. Damit ist es möglich, Programme nahezu unauffindbar im Betriebsystem zu verstecken. Das Audio-CD-Kopierschutz-Verfahren XCP (eXtended Copy Protection) ist in den vergangenen Tagen in die Kritik geraten, weil die versteckte Software ungefragt installiert wird, sobald eine damit versehene CD in den PC eingelegt wird.

Die Kaspersky Labs beschreiben in einem Weblog das Spionage-Programm „Backdoor.Win32.Breplibot.b". Dieses Schadprogramm nutzt zu seiner Tarnung eben die Rootkit-Funktionen in Sonys Kopierschutz.

Das Programm wurde mittels Massenversand verbreitet und nutzt die üblichen Social Engineering-Methoden. Empfänger sollen die angehängte vermeintliche Foto-Datei öffnen. Durch das Öffnen dieser Datei wird ein Schadcode auf den Rechner übertragen. Breplibot.b ist eine gepackte Datei mit einer Größe von 10240 Byte. Beim Start kopiert sich der Schadcode unter dem Namen "$SYS$DRV.EXE" in das Windows-Systemverzeichnis. Aufgrund der Rootkit-Technologie bleibt die so benannte Datei unerkannt. Die Tarnung erfolgt jedoch nur, wenn auf dem Computer der DRM-Schutz aktiviert ist.

Die Sicherheitsexperten von H+BEDV entdeckten zudem mit Ryknos.A einen Trojaner, der ebenfalls XCP missbraucht. Gerät der Trojaner an Rechner, die diesen Kopierschutz installiert haben, kann er sich auf dem betroffenen Windows-System verstecken. Für den Anwender ist er damit nicht sichtbar. Ryknos.A kopiert ebenfalls eine Datei mit dem Namen "$sys$drv.exe“ in das Systemverzeichnis und erstellt Einträge in der Systemdatenbank, der Registry. Der Trojaner ist in der Lage, Verbindungen zu unterschiedlichen IRC-Servern aufzubauen.

Die XCP-Software wird von den Fachleuten als bedenklich eingestuft, weil grundsätzlich alle Dateien und Prozesse, die mit dem Kürzel „$sys$“ beginnen vor dem Anwender verborgen werden. Damit wird mit dem Kopierschutz zugleich ein neues Einfallstor für digitale Schädlinge installiert.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%