10 Jahre Sony-Rootkit: Schadsoftware vom Hersteller

Wer eine gekaufte Musik-CD in den Computer legt, rechnet sicher nicht damit, dass heimlich ein Schadprogramm installiert wird. Eins, das von nun an immer im Hintergrund laufen wird, den Computer verlangsamt und Sicherheitslücken aufreißt. Doch genau das hat Sony gemacht: auf Millionen Musik-CDs. Vor zehn Jahren wurde das sogenannte Sony-Rootkit von Mark Russinovich entdeckt.

Sonys Malware

Mit dem Extended Copy Protection-Rootkit wollte Sony verhindern, dass Käufer ihre CD kopieren. Wer die CD unter Windows abspielen wollte, musste der Nutzungslizenz (EULA) zustimmen – ohne Annahme wurde das Medium wieder ausgeworfen. Wenn man akzeptierte, wurde das Rootkit heimlich installiert. Ab diesem Zeitpunkt wurde jeder Zugriff eines Prozesses auf die CD durch einen speziellen Treiber abgefangen. Stand ein Prozess auf einer Blacklist bekannter Kopierprogramme, wurde der Zugriff verweigert.

Doch durch den unsauber programmierten Treiber beklagten zahlreiche Käufer Datenverluste, Systemabstürze oder Performanceprobleme. Das Rootkit ließ sich nicht einfach deinstallieren. Löschte man die zugehörigen Dateien, sorgten veränderte Registrierungsschlüssel dafür, dass das CD-Laufwerk des Computers unbenutzbar wurde.

22 Millionen infizierte Computer

Etwa 22 Millionen Computer wurden von dieser bösartigen Software infiziert, darunter auch Tausende in militärischen Einrichtungen. Das bedeutete teilweise eine immense Gefahr, da die Software anderer Malware auf dem System ermöglichte, sich besser vor Virenscannern zu verstecken. Erst nach einigem Hin und Her und wegen des wachsenden Drucks bot Sony knapp zwei Monate später ein funktionierendes Removal Tool an und rief die CDs zurück. Etwas vergleichbares hat sich ein Unternehmen seitdem nicht mehr getraut.

Lesen Sie anlässlich des Jubiläums auch einen Kommentar zur Nutzerkontrolle bei c't:

• 10 Jahre Sony-Rootkit: Why we should care
  

(mho)