Sono ancora 350.000 i computer infettati dal rootkit sviluppato dalla società First4Internet per evitare la copia di alcuni CD Sony, secondo quanto rivelato da Security Focus, che cita una ricerca condotta da Dan Kaminsky, un ricercatore che aveva precedentemente sviluppato un metodo per verificare il numero di computer infettati dal worm.
Nonostante sia sfuggito all’attenzione dei media e degli utenti Internet dopo diverse settimane, il cosiddetto rootkit Sony continua a essere oggetto di discussione, sia all’interno che all’esterno della rete. Fino ad ora, sono stati raggiunti alcuni accordi presso il tribunale di New York per rimborsare gli utenti che hanno dimostrato di aver installato, contro la propria volontà, il piccolo software incluso nei CD Sony, considerato pericoloso sia dalle case produttrici di software che dai giudici.
Per questi utenti, Sony ha proposto, e il giudice ha accettato, un rimborso di 7,50 dollari in contanti (circa 6 euro) e un coupon promozionale che consente di scaricare fino a 200 tracce musicali gratuitamente da un negozio di musica online. Tuttavia, non è l’unico problema legale che attende Sony, poiché si sono registrate altre quindici cause intentate da utenti contro la seconda principale azienda dell’industria musicale mondiale per lo stesso problema.
Secondo i dati emersi dalle dispute giudiziarie, il rootkit sviluppato da First4Internet sarebbe stato incluso in circa 52 titoli della casa discografica. Il numero di CD prodotti supera i 4 milioni, mentre quelli venduti sarebbero poco più di 2 milioni.
La ricerca di Kaminsky, presentata alla conferenza ShmooCon 2006, si basa su una tecnica chiamata “Dns Cache Snooping”, che consente di rintracciare su server DNS presenti nella rete Internet una precedente richiesta di un indirizzo internet. Interrogando questi server sulla presenza di una precedente richiesta dell’URL xcpimages.sonybmg.com, il dominio dal quale il rootkit Sony scaricava le immagini visualizzate nel lettore del CD, i server DNS potevano indicare se era già stato effettuato un collegamento a quel server. Nel caso l’URL fosse presente nella cache, dimostrava che qualcuno, ovvero il lettore del CD che accompagnava il rootkit, aveva già eseguito la richiesta.
Nell’ultima analisi condotta da Kaminsky, utilizzando specifici software alla fine di dicembre, il numero di server DNS che rispondevano positivamente alla richiesta era di 350.000, non lontano dai 570.000 risultati ottenuti dalla stessa indagine condotta lo scorso novembre, circa quindici giorni dopo che il fenomeno era stato portato alla luce da Mark Russinovich di Sysinternals.
Considerando attendibili i dati di Kaminsky, che si basano comunque su esperimenti personali, il numero di computer infettati è ancora elevato nonostante i vari tentativi, compiuti da diverse parti, di rimuovere il rootkit. Strumenti per l’eliminazione di questo software dannoso sono disponibili, ad esempio, nello “Strumento di rimozione malware” per Windows sviluppato da Microsoft e che viene eseguito automaticamente ogni volta che un sistema Windows XP, 2000 e 2003 effettua gli aggiornamenti mensili.
La stessa Sony, dopo le critiche ricevute per l’abuso, ha sostituito lo scorso dicembre le immagini promozionali caricate nel lettore del CD con un banner che invita a scaricare il programma di disinstallazione automatico.
Nonostante tutto questo clamore, sembra che non sia ancora sufficiente.