Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 14 de Noviembre de 2005, 05:57:19 pm
-
Eliminación del rootkit XCP DRM de Sony-BMG
Aunque se han publicado diversas herramientas para quitar el software administrador de derechos digitales de Sony, han existido casos en que su eliminación puede causar que luego de ello no funcione correctamente el lector de CD (esto se debe a la eliminación de drivers, no a un daño físico). Por ese motivo, se aconseja utilizar el software proporcionado por Sony, o seguir los siguientes procedimientos para su desinstalación manual:
Desinstalación manual (Windows XP)
1. Haga clic en Inicio, Ejecutar.
2. Escriba CMD más Enter.
3. En la ventana que aparece, escriba lo siguiente:
sc delete $sys$aries
4. Pulse Enter.
5. Reinicie su computadora (Inicio, Apagar equipo).
6. Borre los archivos y carpetas indicados en "Información".
Desinstalación automática (software de Sony):
SOFTWARE UPDATES/ PLUG-INS
http://cp.sonybmg.com/xcp/english/updates.html
Software Updates
http://updates.xcp-aurora.com/
Información
El rootkit instalado por Sony, esconde cualquier archivo, proceso o entrada del registro, que comience con los siguientes caracteres:
$sys$
Crea el siguiente directorio, donde copia sus propios archivos (el directorio queda oculto):
\Windows\System32\$sys$filesystem
Instala dos servicios, creando las siguientes entradas en el registro:
HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer
También crea las siguientes entradas:
HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM
Además, crea los siguientes archivos:
C:\windows\CDProxyServ.exe
C:\windows\DbgHelp.dll
C:\windows\system32\$sys$caj.dll
C:\windows\system32\$sys$upgtool.exe
C:\windows\system32\AXPSupport.dll
C:\windows\system32\ECDPlayerControl.ocx
C:\windows\system32\InstallContinue.exe
C:\windows\system32\Unicows.dll
C:\Windows\System32\$sys$filesystem\$sys$DRMServer.exe
C:\Windows\System32\$sys$filesystem\$sys$parking
C:\Windows\System32\$sys$filesystem\aries.sys
C:\Windows\System32\$sys$filesystem\crater.sys
C:\Windows\System32\$sys$filesystem\DbgHelp.dll
C:\Windows\System32\$sys$filesystem\lim.sys
C:\Windows\System32\$sys$filesystem\oct.sys
C:\Windows\System32\$sys$filesystem\Unicows.dll
C:\windows\system32\driver\$sys$cor.sys
C:\windows\system32\TMPX\APIX.vxd
C:\windows\system32\TMPX\ASPIENUM.vxd
C:\windows\system32\TMPX\WNASPI.dll
C:\windows\system32\TMPX\WNASPI32.dll
Estos archivos y las carpetas "$sys$filesystem", "driver" (no la confunda con "drivers"), y "TMPX" pueden ser borrados luego de eliminar el servicio.
Más información: http://www.vsantivirus.com/rootkit-xcp-drm-sony.htm