Ez év augusztus 27-én igen érdekes felfedezésről számolt be az F-Secure weblogja. Kiderült, hogy a Sony MicroVault USM 256, illetve 512 FL jelű, ujjlenyomat azonosításra képes flash meghajtója titokban rootkitet telepít a gépekre, és az F-Secure kutatói szerint az eszköz kínai fejlesztésű szoftvere működése közben rejtett könyvtárat hoz létre.

Az eset azért elképesztő, mert úgy gondoltuk, aki korábban már ilyen hatalmas tanulópénzt volt kénytelen elhibázott lépése miatt kifizetni, az nem követi el újra ugyanazt. A Sony cég először cáfolta az értesülést, később pedig nem kommentálta az F-Secure több, mint egy hónapja tett felfedezését, viszont amikor az FL után az USM F jelű termékében is azonosították a rootkitet, hivatalos weblapján elérhetetlenné tette a két eszközhöz tartozó meghajtó programok (driverek) letöltését.

Kíváncsiak lettünk a dologra, és vásárolni indultunk a magyarországi webáruházakba, de első körben nem találtunk rá egyik típusra sem. A Vatera és a német Ebay sem hozott szerencsét. Ezért inkább a meghajtó programcsomagra fókuszáltunk, és nem hiába. Az FL típusra egy drivereket kínáló magyar oldalon, a drivers.hu-n akadtunk rá, míg az F változathoz szükséges programot éppen a Sony oldaláról sikerült letölteni. Ehhez kitartóan kellett próbálkoznunk, és végül találtunk olyan országot – Indiát - , ahol Isten malmai lassabban őrölnek, és az ideiglenes visszavonás ellenére sem távolították még el a programot a helyi Sony honlapról. Igaz a csapnivaló sávszélesség miatt majd félóráig tartott a 28 MB méretű állomány letöltése.

  A nagy telepítőcsomagokra a vírusirtó nem jelzett, a telepítés viszont az USB eszközök fizikai megléte nélkül nem hajtható végre. Kis nyomozgatás után aztán a BioSecure\fg.exe (644,608 byte) állományra terelődött a gyanúnk, ez mindkét telepítő csomagnak része. A ProcessMonitorral kísért próbafuttatás során látszik, hogy létrehoz egy új meghajtó állományt C:\WINDOWS\SYSTEM32\DRIVERS\FG.SYS néven (25,043 byte), ezt a NOD32 sikeresen észleli, beállításától függően haladéktalanul törli, illetve karanténba helyezi.
 
Az USM512FL csomag által létrehozott FG.SYS eredménye

Az eszköz beszerzésére irányuló ismételt kísérletünket pár nap után végül siker koronázta, a Pixmania webáruházból sikerült a SONY MicroVault USM128C típust megvásárolni. A telepítő CD lemezen a már említett BioSecure könyvtár - legalábbis a dátum szerint - 2003 szeptemberi dátummal rendelkező állományokat tartalmaz. Itt is megtalálható a BioSecure\fg.exe, ám a hossza különböző. Egy kis kutatással felfedezhető, hogy UPX (Ultimate Packer for eXecutables) segítségével tömörítették 388,608 byte méretűre. A NOD32 valós idejű védelme ettől függetlenül szépen érzékeli, és blokkolja. A kikapcsolt vírusvédelem mellett itt is keletkezik egy C:\WINDOWS\SYSTEM32\DRIVERS\FG.SYS állomány, azonban ez kódjában több helyen is eltér az előző változattól.

Bedobjuk őt is a most már 19 nyelven beszélő VirusTotal-ba, és ami a meglepetés: az F-Secure az FG.EXE állományokat rendre szépen észleli, míg az FG.SYS fájlokat nem érzékeli :-O


Az USM128C csomag által létrehozott FG.SYS eredménye

  Kísérletünkben bátran írtunk a konkrétumokról, mert a fizikai eszköz hiányában az említett program futtatásával nem kockáztatjuk a rootkit a rendszerbe való feltelepülését.

A teljes telepítésnél azonban az ilyen rejtett könyvtáron alapuló megoldások az előző BMG esethez kísértetiesen hasonló helyzetet okozhatnak. A rejtett könyvtárba másolt állományok nem csak a felhasználók számára, hanem számos vírusvédelmi program előtt is észrevétlen marad, és így szinte „megágyaznak” egy láthatatlan vírusnak.


A kártevők szerzői hamar kihasználják az ilyen kényes információt, és pontosan ebbe a mappába fogják telepíteni „láthatatlan” vírusaikat, kémprogramjaikat. Ezzel a gyártó olyan veszélynek teszi ki a gyanútlan felhasználókat, ami szerintünk nem megengedhető.