Компьютерра, 2005 № 42 (614) | страница 19

Когда американский инженер-программист Марк Рассинович (Mark Russinovich), на паях с приятелем владеющий небольшой софтверной фирмой SysInternals, тестировал одну из своих новых программ безопасности RootkitRevealer, то, к великому удивлению, обнаружил в собственном компьютере признаки присутствия подозрительного кода. Детище Рассиновича, как можно догадаться по названию, предназначено для выявления зловредных программ, использующих технологию маскировки rootkit (см. врезку), которую все чаще стали применять писатели вирусов и троянских коней, дабы скрыть свои творения от антивирусных средств. С помощью rootkit-инструментария, на глубоком уровне устанавливающего ловушки, которые перехватывают и перенаправляют команды ОС, зловредные коды делаются невидимыми для стандартных средств мониторинга. Поэтому можно понять изумление Рассиновича, полагавшего, что знает собственную машину как свои пять пальцев, когда RootkitRevealer обнаружил скрытую системную папку и кучу скрытых файлов, включая библиотеки, драйверы устройств и экзешники. Все «невидимые» прежде файлы и папка начинались комбинацией символов $sys$.

Предпринятое тут же расследование позволило выявить драйвер, постоянно сидящий в оперативной памяти, перехватывающий все системные вызовы и подменяющий некоторые из них вызовом команд из папки $sys$. Комплект файлов в папке-невидимке, как выяснилось, разработан британской фирмой First 4 Internet, а дополнительный розыск в Сети показал, что эта компания делает программные средства DRM-защиты контента для аудиодисков Sony BMG. Тут-то и стало ясно, что неведомый руткит появился после того, как Рассинович послушал на компьютере изданный Sony компакт-диск с альбомом кантри-рокового дуэта Van Zant.

Чтобы защитить аудиотреки от нелегального копирования, на дисках Sony BMG с некоторых пор прописывается собственный программный плейер, устанавливаемый при первой же попытке послушать диск через компьютерный привод. Этот плейер позволяет сделать ограниченное количество резервных копий, а также сам управляет сжатием аудиотреков (препятствуя созданию бесконтрольных MP3; если какой-то процесс пытается получить доступ к треку в обход плейера Sony, то следящий за этим драйвер сразу подмешивает в аудиопоток помехи). Вся программа защиты называется XCP, или Extended Copy Protection, встраивается в аудиодиски Sony примерно с начала 2005 года, и что она реально делает с компьютером - никому было неведомо, пока не нашелся въедливый Рассинович.