Probabilmente saprete già l’allegra storia di Sony e del suo gestore di diritti, di cui ce ne siamo occupati anche noi. Dunque, finora si parlava semplicemente della possibilità più o meno remota che questa specie di rootkit potesse essere usato per nascondere virus o trojan.. beh.. c’era solo da aspettare qualche giorno. infatti è di oggi la notizia del primo avvistamento di un trojan/backdoor che cerca di sfruttare le “poco limpide” capacità del DRM Sony. la notizia è comparsa oggi pomeriggio su F-Secure, e ben presto altri siti, a cui ora ci aggiungiamo pure noi, hanno cominciato a diffondere la voce.
E’ necessario che tutti sappiano, per cui ci aggreghiamo volentieri alla lista dei siti che diffondono questa notizia-scandalo, perchè Sony, per proteggere i propri diritti, ha (a dir poco) calpestato quelli degli utenti, e questo atto gravissimo deve essere diffuso. prima di leggere il resto di questo articoletto, consiglio di rileggere quello scritto da Aspide qualche giorno fa.
E’ necessario che tutti sappiano, per cui ci aggreghiamo volentieri alla lista dei siti che diffondono questa notizia-scandalo, perchè Sony, per proteggere i propri diritti, ha (a dir poco) calpestato quelli degli utenti, e questo atto gravissimo deve essere diffuso. prima di leggere il resto di questo articoletto, consiglio di rileggere quello scritto da Aspide qualche giorno fa.
Dunque, vediamo un attimo.. c’è così tanto da dire e sono talmente disgustato che è meglio che metta bene le idee in chiaro prima di iniziare.
Potrei partire dalle preoccupazioni dei produttori di antivirus, che hanno cominciato ad integrare negli update di questi giorni delle procedure particolari per il DRM di sony. Il loro discorso è questo “non so ancora come lo sfrutteranno, ma comincio a controllare chi cerca di attaccarsi a questa specie di rootkit”. E già questo è preoccupante.. si capisce quanto tengano in considerazione questo software che può essere identificata a tutti gli effetti come una falla.
Ma via, non siamo qua per lamentarci, ma per capire.. per cui procediamo:
Jarkko Turkulainen, November 10th, 2005
Il nome dato al trojan è Breplibot.b.
Quando entra in esecuzione, mette un file di nome $sys$drv.exe nella cartella System di Windows e cerca di scrivere subito le chiavi nel registro necessarie a ripartire al prossimo startup del sistema:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
“$sys$drv” = “$sys$drv.exe”
ho usato il termine “cerca” perchè incredibilmente sbaglia a causa di un errore nel codice..per cui scrive nel registro questa entry:
[HKCU\WkbpsevaXImgvkwkbpXSmj`kswXGqvvajpRavwmkjXVqj]
“$sys$drv”=”$sys$drv.exe”
ma vabbè dai, nessuno è perfetto :)
Il passaggio successivo è creare due semafori ( SonyEnabled e $sys$drv.exe ) di mutua esclusione, in modo che non ci siano mai due backdoor in esecuzione. Dopo questa fase iniziale di preparazione, inizia l’esecuzione vera e propria:
La sua caratteristica peculiare è di funzionare come un bot di IRC.. e mica per modo di dire.. questo si connette a certi server irc, la lista degli inidirizzi è questa:
68.101.14.76:8080
24.210.44.45:8080
67.171.67.190:8080
35.10.203.93:8080
152.7.24.186:8080
entra nel canale protetto con password #sony (geniali) e attende i comandi dati dal cracker via irc, a cui seguono potenzialmente download ed esecuzione di file, cancellazione di file o cartelle, raccolta di informazioni varie. Con questi comandi a disposizione, diventa facilissimo prender totalmente il controllo della macchina su cui è in esecuzione
Ovviamente, non l’avevo ancora specificato nella mia fretta di spiegare tutto, esegue tutte queste operazioni di nascosto, grazie al sistema di DRM si Sony.. che dire..
