Utilizzate Alcohol/Daemon Tools? Bene, allora questa notizia potrebbe fare x voi...

[nV 25]

Non sapevo come attrarre l'attenzione senza al contempo scatenare scene di panico (peraltro immotivate...), per questo ho scelto un titolo che fosse il + possibile "soft" e solo apparentemente non coerente con la sezione Antivirus/sicurezza...

Se vi avessi detto infatti bruscamente:
oh, c'è un ROOTKIT che che ci portiamo dietro "da mò", bè, immagino le reazioni di molti....
Per cui, con calma, e senza farla troppo lunga, vi spiego brevemente la faccenda.



Sicuro di essere "discretamente" protetto, decido di fare (per scrupolo) una passata veloce con un nuovo AntiRootkit sviluppato recentemente da Sophos (Link!).

Bè, resto colpito da un fatto:


Uhhhh?
O che è questa storia?

Cerco di andare un attimino a fondo.
Non è difficile, dopo una banale ricerca su Google, arrivare al sito Sysinternals, precisamente qui: http://www.sysinternals.com/blog/200...t-digital.html

Uhhhhhh?
Cosa leggo?

"L'USO DI ROOTKIT PER SCONFIGGERE (aggirare..) IL DRM (Digital Rights Management)"



* qui in realtà ci sarebbe tutta la parte dei moccoli che, per ovvi motivi, salto....


EHM:
ebbene si, Alcohol/DT impiegano dei meccanismi poco trasparenti per tutto il discorso dei drive virtuali, ecc...



Eccole qui, in tutta la loro magnificenza, la serie di chiavine incriminate (per Alcohol, che è quello che uso...):



Ma vieeeeeniiiiiiii....
(per vedere meglio l'ultimo screen, )


CONCLUSIONI:
per quanto non vi siano prove che questi programmi impieghino rootkit (parole di Mark Russinovich, 2° screen...), l'evidenza parla chiaro come fà giustamente notare lui.....indi, pace, me lo tengo visto che Alcohol mi serve...
Peraltro è li' bono bono da circa 2 anni....


















PS: Per chi "mi legge" un pò di +, dico solo questo:
Process-Guard (o RegDefend...) in realtà non hanno fallito nell'identificazione:
la colpa, infatti, è solo mia in quanto, in fase di set-up di Alcohol, ho avuto la brillante idea (come faccio sempre, poi, peraltro...) di disabilitare i miei HIPS...
Ma questo sarebbe un'altro capitolo a se....

[Cobain]

io una mezza cosa la stavo per pensare ma non ci avevo mai pensato a fare una scansione......sara per questo che il crack va a farsi benedire dopo un periodo in working

[W.S.]

hehehe, come tu stesso hai detto:
Pace, me lo tengo visto che Alcohol mi serve

[nV 25]

hihihi

Certo che, oh:
mica gli si stà dietro a tutte queste storie, eh!!


PS: 3 risposte su 4 visite!!!
Mica male!

[W.S.]

eggià, ormai son + che convinto di usare win il meno possibile...
Ma la storia della Sony poi come è finita? (sorry x il piccolo semi-OT, spero di nn far arrabbiare nessuno...) Quanti altri software-anti-pirateria basati su rootkit dobbiamo aspettarci? (ok, alchool lo dovrebbe usare per altri motivi, ma tant'è!)

[nV 25]

ascolta, su sony so poco...
Sul blog, cmq, ci sono tantissime info anche in proposito ma non solo.



http://www.sysinternals.com/blog%5Cblogindex.html

[lucas84]

La tua "scoperta" è risaputa da molto tempo

[gromit60]

Però stupirsi perché programmi che permettono un uso illecito di altri programmi utilizzino a loro volta sistemi illeciti mi sembra tautologico...

[marcocappe]

E' da un pò che si sa...e non è il solo programma. Diversi firewall e antivurs usano un meccanismo simile. sul forum di starforce facevano una lista di tutti i programmi che installavano rootkit o simil rootkit ma purtroppo ora il forum è chiuso.

[nV 25]

pardon...
io al di là del "caso Sony" non ne sapevo nulla...
In effetti il blog è datato Febbraio '06...

@ gromit60:
si il tuo punto di vista è molto interessante, probabilmente vero...

[kmarraff]

Anche il kav usa metodi rootkit con le tecnologie iSwift e iChecker