Sonys DRM-Rootkit hat Trojaner als Trittbrettfahrer

Die DRM-Software (Digital Rights Management) von Sony BMG, die sich mit Hilfe von Hackertricks für den Nutzer unsichtbar macht, wird für das Unternehmen immer mehr zum Bumerang. Nachdem in Kalifornien die erste Klage gegen Sony BMG eingereicht wurde, tauchte jetzt ein Trojaner auf, der die Rootkit-Funktion des DRM-Tools ausnutzt. 

Sicherheitsunternehmen haben dem Trojaner verschiedene Bezeichnungen gegeben. Kaspersky Labs nennt ihn ‘Backdoor.Win32.Breplibot.b’, H+BEDV spricht von ‘TR/IRC.Ryknos.A’ und Sophos von ‘Troj/Stinx-E’. Verbreitet wird die Malware mittels einer E-Mail. Im Text der Nachricht wird dazu aufgefordert, die angehängte vermeintliche Foto-Datei öffnen.

Bei einem Klick auf die Datei kopiert sich der Schadcode unter dem Namen ‘$sys$drv.exe’ in das Windows-Systemverzeichnis. Ist die DRM-Software von Sony BMG auf dem Rechner aktiv, versteckt diese den Trojaner. Der Grund: Das Tool  verbirgt sämtliche Dateien und Prozesse, die mit dem Kürzel ‘$sys$’ beginnen. Der Trojaner ist zudem in der Lage, eine Verbindung zu IRC-Servern (Internet Relay Chat) aufzubauen.

Das Sicherheitsunternehmen Sophos stufte das Sony-Tool unterdessen als Trojaner ein. Der Hersteller stellte ein Programm online, mit dem Anwender sowohl Troj/Stinx-E als auch Troj/RKProc-Fam entfernen können.