Sony XCP: Erster Trojaner nutzt Rootkit-Funktion

Es war einmal eine Sicherheitslücke, von der niemand wusste. Als sie Ende Oktober schließlich entdeckt wurde, war der Schreck groß, war die Lücke doch von Elektronik-Riese Sony verursacht. Der Kopierschutz XCP installierte über Audio-CDs ein Rootkit auf dem Rechner, das den Computer mit einigen Hintertüren versah. Nun wurde ein Trojaner entdeckt, der sich dieser Lücke bedient.

Versteck den Trojaner

Es ist immer das gleiche mit Sicherheitslücken: Meist sind sie einfach da und niemand weiß von ihnen. Werden sie dann entdeckt, erscheinen binnen kürzester Zeit Schädlinge, die sich diese Lücke zunutze machen - Mist lockt eben Fliegen an. Auch die XCP-Rootkit-Lücke musste nicht lange warten, keine zwei Wochen nach ihrer Entdeckung hat jemand den Schädling Ryknos.A, so die Bezeichnung von H+BEDV, auf die Reise geschickt. Er versteckt sich mit Hilfe von Sonys Rootkit auf dem Rechner und ist für den Anwender nicht mehr sichtbar.

Ryknos.A ist so entworfen, dass er sich XCP zunutze macht. Um ihn zu installieren, muss er allerdings ausgeführt werden. Selbstständig installieren kann er sich nicht, wodurch dem Schädling schon ein Großteil seines Schreckens genommen ist. Allerdings reicht ein unvorsichtiger Klick auf die Datei, sie kommt via E-Mail oder Tauschbörse auf den Rechner und kann im Zweifelsfall auch einen Dateinamen haben, der den Anwender neugierig auf den Inhalt der 10.240 Bytes großen Datei macht.

Lückenhafter Kopierschutz

Der Trojaner installiert sich ins Windows-Systemverzeichnis unter dem Dateinamen "$sys$drv.exe" und legt einen Registry-Eintrag an, der seine Ausführung beim Systemstart erlaubt. So weit die normale Vorgehensweise in klassischer Trojaner-Art. Ist auf dem System nun Sonys XCP installiert, kann der Trojaner diesen zur Tarnung nutzen, weil die Software sämtliche Prozesse, die das Kürzel "$sys$" im Namen haben, versteckt. Aus seinem Versteck heraus öffnet der Trojaner weitere Hintertüren auf dem System und verbindet sich zu verschiedenen IRC-Servern. Von dort aus kann der Rechner ausgehorcht und schlimmstenfalls auch ferngesteuert werden.

Da die Methode zum Verstecken des Schädlings-Prozesses via XCP so einfach und effizient ist, dürfte es nicht lange dauern, bis sich weitere Schädlinge dieser Lücke bedienen. Es gilt also, vorsichtig zu sein, sofern man denn XCP überhaupt installiert hat. Um XCP zu entfernen, sollte das Entfernungs-Tool von Sony heruntergeladen werden. Zudem sollte darauf geachtet werden, dass Dateien aus Tauschbörsen mit einem aktuellen Virenscanner überprüft werden. Unerwünscht zugesandte E-Mail-Anhänge sollten grundsätzlich nicht geöffnet werden.