Alpha-DVD entfernen

Wer die DVD "Mr. & Mrs. Smith" in seinen Computer einlegt (bei eingeschaltetem Autorun) oder PlayDVD.exe startet, bekommt diesen Dialog zu sehen (linkes Bild).

Wer hier auf "Ich stimme zu" klickt, bekommt das Alpha-DVD Kopierschutz-Rootkit installiert. Diese Software läuft versteckt und ist mit normalen Mitteln nicht sichtbar (= Rootkit).

Der unsichtbare Prozess soll verhindern dass die DVD raubkopiert wird.

Alpha-DVD schiebt allen aktiven Prozessen die DLL hadl.dll unter. Diverse Programme stürzen deswegen ab oder verhalten sich seltsam. Ausserdem kann das Brennen von normalen CDs/DVDs dardurch behindert werden.

Einzelne Nutzer berichten vom Ausfall der Windows-Defragmentierung. Dieses Problem konnte ich auf meinen Testsystemen allerdings nicht reproduzieren. Nach der Entfernung von Alpha-DVD soll die Defragmentierung wieder funktionieren (könnte auch Zufall sein).

Hier wird erklärt was Alpha-DVD ist und wie man es entfernt. Die manuelle Methode dort ist allerdings sehr umständlich. Hier kommt eine bessere (bzw. zwei).

Alpha-DVD Kurzbeschreibung
Alpha-DVD installiert 3 Dateien auf dem Rechner (alle in %SystemRoot%\system32, Kopien liegen im Temp Verzeichniss): hadl.dll, cmtl.dat und eine .exe Datei mit zufällig (?) gewähltem Namen.

Hinweis: %SystemRoot% ist üblicherweise C:\Windows.

Folgende Namen der "Zufallsdatei" habe ich beobachtet:

amqv.exe auths.exe bootvid.exe bszey.exe bujp.exe bvrkarq.exe cdosysmon.exe comstl.exe comusys.exe ctsrv.exe culil.exe d2d8.exe ddfyc.exe default8.exe dmaaoc.exe dmdmgr.exe dpnpast.exe efsysadu.exe eygxbmb.exe hyqy.exe jplxxva.exe lplbp.exe msa2p.exe msacm32.exe msadm.exe msapp32.exe msauite.exe msdmo16.exe msgina2.exe mstoc.exe msxhtml.exe pypdmc.exe romipkj.exe ssedm.exe sysmon32k.exe systemmon32.exe systemprop.exe tatbqfy.exe tvtrci.exe win32k2.exe wina2p.exe wrsbzxb.exe winsta32.exe wtsap32.exe xxnz.exe znzd.exe

Dann wurde es mir zu langweilig. Teilweise wiederholen sich die Namen, das lässt darauf schliessen das es eine Liste ist und kein reiner Zufallsgenerator.



Die Zufallsdatei hat in den Eigenschaften immer den Namen "System PTHelper" und den Hersteller "MS Corp.". Die Datei heisst in diesem Beispiel "comstl.exe".



Es wird in der Registry ein Autostart angelegt. Der Autostart heisst immer "SystemManager". Der Dateiname ist die Zufallsdatei.



Das Programm ist immer aktiv aber unsichtbar (wird vom Task-Manager nicht angezeigt). Process Explorer sieht das Programm auch nicht, kann aber die Handles des Systemprozesses CSRSS.EXE anzeigen. Dort taucht dann ein "Non-existent Process" auf (CSRSS ist das Win32-Subsystem des NT-Kernels und hält Handles auf alle Win32 Prozesse).

Die Zufallsdatei und der Registry-Eintrag sind nicht versteckt, können aber nicht gelöscht werden solange das Rootkit aktiv ist.

Alpha-DVD Schnellprüfung

Wenn man nur mal nachgucken will ob man infiziert ist.

Sysinternals WinObj downloaden und starten.


Wenn unter "BaseNamedObjects" der Eintrag "Alpha-Agent spoolsv" existiert, ist Alpha-DVD aktiv.

Achtung: Möglicherweise ändern sie den Namen des Objekts in der Zukunft. Die Prüfung mit IceSword ist zuverlässiger.

Entfernung
Um das Rootkit loszuwerden starten wir IceSword und den Windows Task-Manager. Unter "Process" wird eine versteckte Datei angezeigt die der Task-Manager nicht sieht. Mit der Rechten Maustaste klicken wir auf den Prozess und wählen "Terminate".


Dann können wir mit dem eingebauten Explorer und Registry-Editor von IceSword die 3 Dateien (s. o.) und den Autostart löschen.

Wer den Prozess gekillt und den Namen schon vergessen hat: Der Name der Zufallsdatei steht in der Registry.

Der Registry-Eintrag für den Autostart des versteckten Prozesses mit dem Zufallsnamen ist unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\policies\Explorer\Run. Der Schlüssel heisst immer "SystemManager".

Hinweis: Möglicherweise enthalten andere DVDs andere Versionen von Alpha-DVD mit anderen Dateinamen, aber das Grundprinzip sollte klar sein.

Nach einem Reboot kann man mit der Schnellprüfung (s.o.) nochmal überprüfen ob man es wirklich los geworden ist.

Entfernung, Teil II
Das Alpha-DVD Rootkit ist noch schlechter als ich dachte: Beim rumspielen mit der DLL-Injection ist mir klar geworden wie es funktioniert (und dass die Settec-Programmierer dümmliche Amateure sind).

Der Rootkit Prozess injiziert die DLL die ihn versteckt, nur in Prozesse des aktuellen Benutzers. Wenn man (z.B. mit runas) einen Task-Manager als ein anderer Benutzer ausführt kann man den Prozess sehen & killen.

Alpha-DVD entfernen, mit Windows-Bordmitteln
Einen neuen Benutzer anlegen, Administrator (hier im Beispiel "foo").
Start->Ausführen->runas /user:foo taskmgr
Den Rootkit-Prozess killen (siehe Teil I).
Die 3 Dateien löschen (bei einem Standard XP C:\Windows\system32\hadl.dll, C:\Windows\system32\cmtl.dat und den gekillten Prozess mit dem Zufallsnamen).
Regedit aufrufen und unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run den "SystemManager" Eintrag löschen. RIP Alpha-DVD.

Weitere Beobachtungen
Wenn die EULA-Abfrage kommt, ist das Rootkit bereits geladen! Wenn man auf "Ich stimme nicht zu" klickt hängt sich der Installer hier auf und das Rootkit wird nicht entladen. Die Datei bleibt im Temp Verzeichniss liegen (Name immer tmpagt.exe). Dabei bleibt ein nicht funktionierender Autorun-Eintrag zurück.

Der Rootkit-Prozess benutzt ein Mutex (\BaseNamedObjects\Alpha-Agent spoolsv) um zu verhindern dass er mehrmals geladen wird. Dardurch sollte man seine Existenz einfach abfragen können.

Außerdem glaube ich das man den Kopierschutz auch bei geladenem Alpha-DVD umgehen kann indem man seinen Ripper PlayDVD.exe nennt.