Předem chci upozornit, že následující text je značným zjednodušením původního článku v blogu Marka Russinoviche s názvem „Sony, Rootkits and Digital Rights Management Gone Too Far“. Jde mi především o nastínění toho, jak daleko jsou zjevně vydavatelské firmy ochotny zajít a nikoliv o přesný popis. Pro jeho plné pochopení je totiž stejně nutné mít nemálo znalostí, které ovšem prakticky může mít pouze člověk, který nebude mít problém si přečíst originální článek. Proto pokud chcete vědět přesně, jak to bylo a vlastně i drobnou nápovědu, jak se to ze systému dá dostat, pak si přečtěte originální článek od Marka.

Mark na celou věc přišel při testování nové verze aplikace RootkitRevealer. Ta se snaží odhalit soubory na disku a záznamy v registru, které nejsou vidět v operačním systému, které jsou prostě před Windows API schovány. Při správném zkombinování těchto dvou neviditelných prvků se vám může automaticky spouštět nějaká aplikace schována jako například ovladač, který ovšem žádnými běžnými prostředky zkrz Windows API nezjistíte. Takovým typickým příkladem jsou soubory na NTFS partition na disku, mezi které patří soubory $Mft, $MftMirr, $LogFile, $Boot, $BadClus.

Po spuštění RootkitRevealeru na jednom ze svých počítačů Mark objevil tyto skryté soubory a klíče v registru:

Jak si můžete všimnout, všechny podezřelé řádky začínají na řetězec „$sys$“. Přitom cokoliv z těchto řetězců nebylo ve Windows API vidět a Markovi se podařilo zjistit, že za to může ovladač Aeries.sys, který sám uložen v adresáři $sys$filesystem a spouštěn jako služba takto maskuje svou přítomnost na počítači. Mimo zamaskování své přítomnosti maskuje přítomnost ještě i jiných souborů, které ovšem už dělají skutečnou neplechu.

Nyní však bylo třeba zjistit, jak se vůbec tato havěť mohla do jeho počítače dostat. Postupným pátráním po Internetu se dobral k tomu, že za to patrně může Digital Right Management od firmy First 4 Internet s názvem XCP, která byla dodána několika nahrávacím společnostem a to včetně Sony. Sám pak našel CD od bratří Van Zantů s názvem „Get Right with the Man“, které u něj způsobilo celou šlamastyku.

Aby však přišel na to, co přesně dělá, nechal si toto CD v počítači přehrát. Po vstrčení tohoto CD do počítače se objeví přehrávač od Macromedie, který je ochoten dané CD přehrát, ale zároveň si při jeho přehrávání všimnul, že nemálo výpočetního výkonu počítače požírá jinak skrytý program $sys$DRMServer.exe. Nicméně velkým šokem pro něj bylo, že i po zavření přehrávače nadále jedno až dvě procenta času procesoru požírá tento proces. Podíval se mu tedy na zoubek svými dalšími nástroji a zjistil, že tento program se naprosto zbytečně každé dvě sekundy dívá na některé systémové soubory a zjišťuje o nich podrobnosti, čímž užírá výkon počítače.

Rozhodl se tedy, že si toto nenechá líbit a tak příslušné soubory smazal a odstranil i z registrů příslušné odkazy. K jeho velkému překvapení však po restartu počítače zmizely optické mechaniky. Začal zjišťovat, čím je toto způsobeno a našel, že za to může mezi „Device Lower Filters“ u optické mechaniky uvedený $sys$crater, který však smazal. Tím došlo k tomu, že se Windows nepodařilo správně nahrát všechny ovladače k optické mechanikce a tak se tvářily, že ji nenašly:

Zbavit se toho dá jedině odmazáním v registru u příslušné mechaniky:

Jenže ani to není snadné, protože tyto klíče mají ve Windows práva omezena pouze na „Local System“, takže ani uživatel s administrátorskými právy nemá možnost tyto klíče mazat. Dá se to obejít tím, že se spustí editor registru s právy „Local System“ (například za pomoci programu psexec od SysInternals, s holými Windows nemáte šanci). Po odmazání $sys$crater hledal ještě dále a nalezl ještě jeden skrytý filter v registrech (tentokráte šlo o upper a byl u IDE kanálu), který tam neměl co dělat. Jeho následné odmazání a restart již systém uvedly do normálně použitelného stavu.

A co si tedy s této příhody odnést? Chráněná CD od hudebních společnéstí dostávají nový rozměr. Zjevně používají dost nečisté techniky na usídlení v počítači, při prvním přehrání v počítači se vám navíc do počítače nainstalují zcela bez vašeho vědomí, zatěžují naprosto zbytečně počítač i v momentě, kdy si nic nechcete přehrát a když už na ně dokážete přijít, tak standardní metodou „smaž problémový soubor“ si pouze znefunkčníte optickou mechaniku. Dle mého názoru je toto už hodně daleko za mírou slušnosti a za tím, co bychom si od hudebních společností měli nechat líbit. Proto pozor na hudební CD s ochranou! Samozřejmě je dobrou prevencí vypnout si automatické spouštění CD po vložení a z hudebních CD nespouštět žádné proprietární přehrávače.