Netrvalo to dlouho a dalo se to čekat. První malware, zneužívající rootkitu v ochraně DRM společnosti Sony BMG, je na světě. Tím ke stávající mediální aféře přibývá pro zástupce společnosti Sony další potenciální problém.
Nově vzniklý červ byl pojmenován BKDR.Breplibot.C. Jeho soubor je na disku zamaskován v adresáři Windows pod názvem $SYS$DRV.exe. Rootkit od Sony tento soubor spolehlivě skryje, stejně jako každýkoliv jiný, začínající na $SYS$. Breplibot.C se šíří pomocí emailové zprávy, která vypadá jako rozesílaná informace ekonomického časopisu.
Odesílatel: TotalBusiness
Předmět: Requesting Photo Approval
Přílohy: (jedna z následujících)
article_december_3621.exe nebo Photo+Article.exe
Text zprávy:
Hello,
Your photograph was forwarded to us as part of an article we are publishing for our December edition of Total Business Monthly.
Can you check over the format and get back to us with your approval or any changes? If the picture is not to your liking then please send a preferred one. We have attached the photo with the article here.
Kind regards,
Jamie Andrews
Editor www.TotalBusiness.co.uk
**********************************************
The Professional Development Institute
**********************************************
Červ se po své aktivaci pokouší spojit s IRC serverem na jedné z následujících IP adres: 68.101.14.76, 24.210.44.45, 67.171.67.190, 35.10.203.93, 152.7.24.186. Pokud uspěje, čeká na instrukce útočníka, pomocí kterých lze stahovat, mazat či spouštět libovolné soubory. Novinkou pro uživatele je rovněž nově zjištěná vlastnost rootkitu, který se údajně po vložení CD disku spojí se serverem společnosti Sony a odešle mu sériové číslo zakoupeného audio CD disku.