Il rootkit di Sony è ancora vivo

Sarebbero ancora 350 mila i computer infettati dal rootkit che la società First4Internet aveva sviluppato per evitare la copia di alcuni CD Sony. A rivelare il dato è Security Focus che cita una ricerca di Dan Kaminsky, un ricercatore che già nel novembre dell'anno scorso mise a punto un metodo per verificare quanti fossero i computer infettati dal Worm.

Sebbene sfuggito dopo settimane al fuoco incrociato dei media e degli utenti Internet, il cosiddetto rootkit Sony continua a far parlare di sé, sia fuori sia dentro la rete. Sinora sono stati raggiunti alcuni accordi presso il tribunale di New York per rimborsare gli utenti che hanno dimostrato di aver installato, contro il loro volere, il piccolo software incluso nei CD Sony, giudicato pericoloso sia da software house sia dai giudici.

Per questi utenti Sony ha proposto, e il giudice accordato, un rimborso di 7,50 dollari in contanti (circa 6 euro) e un coupon promozionale per mezzo del quale scaricare fino a 200 tracce musicali gratis da music store online. Tuttavia non è l'unico guaio giudiziario che attende Sony. Sarebbero infatti altre quindici le cause intentate da utenti contro la seconda major dell'industria musicale mondiale per lo stesso problema.

Stando ai dati emersi dalle dispute giudiziarie, il rootkit sviluppato da First4Internet sarebbe stato incluso in circa 52 titoli della casa musicale. I CD prodotti raggiungono il numero di oltre 4 milioni, mentre sarebbero stati poco più di 2 milioni quelli venduti.

La ricerca di Kaminsky, presentata alla conferenza ShmooCon 2006, si basa su una tecnica chiamata Dns Cache Snooping che consente di rintracciare sui server Dns presenti nella rete Internet una precedente richiesta di un indirizzo internet. Interrogando questi server sulla presenza di una precedenza richiesta dell'Url xcpimages.sonybmg.com, il dominio dal quale il rootkit Sony scaricava le immagini visualizzate nel player del Cd, i server Dns potevano indicare se era o no stato già eseguito un collegamento a quel server. Nel caso l'Url fosse presente nella cache dimostrava che qualcuno, ossia il player di Cd che accompagnava il rootkit, aveva già eseguito la richiesta.

Nell'ultima analisi di Kaminsky, condotta con specifici software a fine dicembre, il numero dei Dns che rispondevano affermativamente alla richiesta è stato di 350 mila, non lontano dai 570 mila risultati dalla stessa indagine condotta lo scorso novembre, una quindicina di giorni dopo che il fenomeno era stato portato alla luce da Mark Russinovich di Sysinternals.

Prendendo per buoni i dati di Kaminsky, che comunque si basano su esperimenti personali, il numero di computer infetti è ancora alto nonostante i vari tentavi, messi in atto da più parti, di procedere alla rimozione del rootkit. Strumenti di eliminazione di questo software nocivo sono presenti, ad esempio, nello Strumento di rimozione malware per Windows messo a punto da Microsoft ed eseguito automaticamente ogni volta che un sistema Windows XP, 2000 e 2003 esegue i mensili aggiornamenti del sistema. La stessa Sony, dopo le critiche piovutele addosso per l'abuso, ha sostituito lo scorso Dicembre le immagini promozionali caricate nel player del Cd con un banner che invitava a scaricare il disinstallatore automatico. Tutto questo clamore, forse, non è ancora bastato.

di Francesco Caccavella (f.caccavella@html.it)

<<

Copyright (c) 2000 - 3000 by Ing. Eduardo Palena - Napolifirewall.com