ウイルス情報

ウイルス名 危険度

XCP

企業ユーザ: N/A
個人ユーザ: N/A
種別 プログラム
最小定義ファイル
(最初に検出を確認したバージョン)
4624
対応定義ファイル
(現在必要とされるバージョン)
4625 (現在7709)
対応エンジン 4.4.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 SecurityRisk.First4DRM (Symantec) XCP.Sony.Rootkit (CA)
情報掲載日 2005/11/10
発見日(米国日付) 2005/11/08
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・McAfee(R) AVERT(tm)は、許可された管理者が承知してアプリケーションをインストールするという意味では、XCPが合法であると認識しています。XCPまたは別の付属アプリケーションの使用許諾契約に合意すると、XCPの削除、XCPを使用しない状態でのホストアプリケーションの使用に関する法的義務を負うことになります。詳細はXCPのベンダーにお問い合わせください。

・ウイルス定義ファイルに追加された検出プログラムのリストについては、http://vil.nai.com/vil/DATReadme.aspxを参照してください。

・合法的にインストールされたプログラムを有効、無効に設定する方法、検出の対象から除外する方法については、http://www.mcafee.com/japan/security/configuration.aspを参照してください。

配布

・音楽の不正コピーを防止するため、最近発売されたSonyの音楽CDの一部には、First4Internetという会社のDRM(デジタル著作権管理)ソフトウェアが組み込まれています。このソフトウェアはCD付属の音楽プレーヤーと一緒にインストールされます。この追加ソフトウェアのインストールが画面に表示されないよう、「$sys$」という文字列で始まるすべてのファイルやプロセスを隠すプログラム(「XCP」)がドロップ(作成)されます。XCPの動作は2005年10月21日にVan ZantのCDで確認されました。

・XCPの削除方法に関する詳細は、SonyのWebサイトおよびhttp://updates.xcp-aurora.com/に掲載されています。

・最新のウイルス定義ファイルでは、XCPの検出、駆除、再インストールの防止が可能です。駆除によって、CDからインストールされた著作権保護機構が損なわれることはありませんが、XCPのアンインストールが原因と思われるシステムクラッシュが複数報告されています(http://www.sysinternals.com/blog/2005/11/sonys-rootkit-first-4-internet.html)。また、First4Internetのコードの問題により、McAfee製品を使用した修復中にもシステムクラッシュが発生する可能性があります。

ウイルスの特徴

・Sony BMGの音楽CDをMicrosoft Windowsを実行しているコンピュータシステムのCDプレーヤーに挿入すると、CDにDRMソフトウェアが組み込まれている場合、以下のEULAが表示されます。

・EULAからの抜粋を以下に示します。

  • "As soon as you have agreed to be bound by the terms and conditions of the EULA, this CD will automatically install a small proprietary software program (the SOFTWARE) onto YOUR COMPUTER .The SOFTWARE is intended to protect the audio files embodied on the CD, and it may also facilitate your use of the DIGITAL CONTENT.Once installed, the SOFTWARE will reside on YOUR COMPUTER until removed or deleted.However, the SOFTWARE will not be used at any time to collect any personal information from you, whether stored on YOUR COMPUTER or otherwise."
  • install one (1) copy of SOFTWARE onto the hard drive of YOUR COMPUTER , solely in machine-executable form;
  • install one (1) copy of any APPROVED MEDIA PLAYER(S) contained on this CD onto the hard drive of YOUR COMPUTER, solely in machine-executable form
  • use the SOFTWARE and any APPROVED MEDIA PLAYER(S) contained on this CD to access the DIGITAL CONTENT on YOUR COMPUTER or on an APPROVED PORTABLE DEVICE.
インストール
  • CDの自動実行機能により、First4Internetの拡張インストーラである「go.exe」というプロセスが開始されます。XCPサービスをインストールする主要コンポーネントである$sys$DRMServer.exeファイルがインストールされます。
  • $sys$DRMServer.exeにより、「$sys$aries」という名前のサービスが作成されます。このサービスは、%sysdir%\$sys$filesystemという隠しフォルダにあるaries.sysファイルを使用します。サービスの表示名は「Network Control Manager Service」です。
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\$sys$ariesが作成されます。
  • XCPは、「$sys$」という文字列で始まるすべてのプロセス、ファイル、ディレクトリを隠します。また、これらのバイナリのパスを指す一部のレジストリキーも隠します。
  • 「$sys$」で始まる名前で作成されたすべてのランダムなファイルが自動的に隠されます。
  • そのため、ウイルススキャナーによっては、これを利用した有害な可能性のあるプログラムを検出、削除できない危険性があります。

注:ウイルス定義ファイル4612では、XCPのセキュリティホールを悪用しようとする可能性のあるファイルをヒューリスティックに検出できます。このシグニチャに合致するファイルはNew Malware.jという名前で検出されます。

手動での駆除方法:
  • 「net stop $sys$aries」を実行します。
  • %sysdir%\$sys$filesystem\aries.sysを削除します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • $sys$で始まる名前を持つすべてのフォルダのファイルが隠されます。
  • %sysdir%\$sys$filesystemフォルダにaries.sysファイルが存在します。

TOPへ戻る

感染方法

・上記の危険性は現在、First4Internetのコンテンツ保護機構が組み込まれたSony BMGの音楽CDを介して拡散しています。

TOPへ戻る

駆除方法

■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る