Neuer Backdoor nutzt "Rootkit-Funktionen" in Sonys Kopierschutz aus

Empfänger sollen die angehängte, vermeintliche Foto-Datei öffnen

(14.11.05) - Kaspersky Lab hat das erste Schadprogramm identifiziert, das zu seiner Tarnung die "Rootkit-Funktionen" in Sonys Kopierschutz nutzt. Wie Anfang des Monats bekannt wurde, verwendet Sony BMG auf einzelnen ihrer mittels Digital Rights Management (DRM) kopier-geschützten CDs eine Software, die Rootkit-Technologien nachbildet - und die von Schadprogram-men zur eigenen Tarnung genutzt werden können. Das jetzt entdeckte Backdoor-Programm "Backdoor.Win32.Breplibot.b" ist hierzu in der Lage.

Das Programm wurde mittels Massenversand verbreitet und nutzt die üblichen Social Engineering-Methoden: Empfänger sollen die angehängte, vermeintliche Foto-Datei öffnen. Durch das Öffnen dieser Datei wird ein Schadcode auf das Computersystem übertragen. Die Utility Breplibot.b ist eine Datei mit einer Größe von 10240 Byte, die mit UPX gepackt ist. Beim Start kopiert sich der Schadcode unter dem Namen «$SYS$DRV.EXE» in das Windows-Systemverzeichnis. Aufgrund der oben beschriebenen Rootkit-Technologie von Sony kann die so benannte Datei unerkannt bleiben. Die Tarnung erfolgt jedoch nur, wenn auf dem Computer der DRM-Schutz aktiviert ist, der auf einigen Sony Audio-CDs eingesetzt wird. (Kaspersky: ra)