Dat stelt althans Mark Russinovich van Sysinternals. Bij wijze van test installeerde hij Rootkit Revealer-software die naar dergelijke software op zoek gaat. Tot zijn ontsteltenis ontdekte hij een rootkit op zijn pc. Rootkits zijn een verzameling programma's waarmee bestanden, directories, registersleutels en software ongezien kunnen worden ge�nstalleerd. Hackers gebruiken dergelijke software om toegang te krijgen tot het systeem en vervolgens gebruikersnamen en wachtwoorden te achterhalen.

De scan door Russinovich leverde een verborgen directory, diverse drivers en een verborgen applicatie op. Hierop begon de beveiligingsexpert verder te graven. Hij stuitte hierbij op een driver genaamd Aries.sys. Tevens ontdekte hij de verborgen directory: WindowsSystem32$sys$filesystem. De rootkit-software blijkt alle registersleutels of procesnamen die beginnen met '$sys$' te verbergen.

Russinovich krijgt het voor elkaar om de verborgen elementen zichtbaar te maken. Een onderdeel van deze elementen zijn de zogeheten 'Essential System Tools' van een bedrijf genaamd First 4 Internet. Dit bedrijf is gespecialiseerd in het beschermen van content. De beveiligingsexpert is met Google gaan zoeken naar artikelen omtrent dit bedrijf en stuitte op een artikel van CNet waarin Sony aankondigt content te gaan beschermen met behulp van de software van First 4 Internet.

'Get Right with the Man'

Het artikel zette Russinovich aan het denken. Recentelijk heeft hij namelijk de cd Get Right with the Man van Van Zant aangeschaft. Deze cd is middels drm beveiligd en kan tot driemaal gekopieerd worden. Om te checken of zijn vermoedens juist zijn, heeft hij de audio-cd in zijn pc gestopt en de daarop aanwezige software opgestart. Vervolgens is hij de lopende processen gaan analyseren.

Een voorheen onzichtbaar bestand belast zijn processor: $sys$drmserver.exe. Deze wordt actief zodra de cd afgespeeld wordt. De beschrijving van dit proces is 'Plug and Play Device Manager'. Volgens Russinovich is het proces zo genoemd om gebruikers te misleiden die het proces per toeval tegenkomen.

Tot zijn verbazing blijft $sys$drmserver.exe actief na het afsluiten van de afspeelsoftware. Uit nader onderzoek blijkt dat de software onderdelen van het systeem scant en dat de rootkit wel degelijk van de beveiligde Sony-cd afkomstig is.

Licentieovereenkomst

Ziek van de software besluit Russinovich de software te verwijderen. Dat blijkt niet makkelijk te gaan. Zowel in het configuratiescherm als in het softwarepaneel is niets terug te vinden. Ook op de cd en de site van First 4 Internet zijn geen instructies terug te vinden. Russinovich is vervolgens de licentieovereenkomst gaan napluizen. Daar staat nergens een vermelding dat er software wordt ge�nstalleerd die vervolgens niet meer verwijderd kan worden.

Russinovich is inmiddels over de rooie en besluit alles handmatig te verwijderen. Daarbij komt aan het licht hoe diep de software zich nestelt in het systeem. Zelfs in veilige modus start de software nog op. Indien er een bug in de software zou zitten, wordt het extreem moeilijk de pc weer te repareren, omdat de software ook in veilige modus aanwezig is, zo stelt Russinovich.

Cd-speler weg

Na het handmatig verwijderen van alle software blijkt de cd-speler uit Windows Verkenner te zijn verdwenen. De drivers bleken vervangen te zijn door $sys$drivers. Na veel pijn en moeite heeft Russinovich ook deze onderdelen weten te verwijderen en na een herstart functioneerde de speler weer.

Sony Nederland kon op het moment van schrijven geen commentaar geven, omdat het bedrijf op dit moment niet bekend is met de materie.