Detectiescherm van RootKitRevealer (uitsnede)
Het verslag van Russinovich’s pogingen om de rootkit te verwijderen leest als
een spionageverhaal. Automatisch verwijderen bleek niet onmogelijk en ook
handmatig leverde dit de nodige problemen op. De DRM-software had zich diep in
het Windows-systeem genesteld en bleef zelfs in Veilige Modus actief. Als er een
bug in zou hebben gezeten dan zou het zeer moeilijk zijn geweest om de
aangetaste Windows-pc opnieuw werkend te krijgen.
Na het handmatig verwijderen bleek de cd-speler van de pc niet meer te worden
herkend door Windows, omdat de systeem-drivers vervangen waren door drivers van
First 4 Internet. Pas toen de oorspronkelijke drivers werden teruggezet, werkte
Russinovich’s Windows XP-systeem weer naar behoren en zonder vertragingen.
Weerklank
Russinovich’s ontdekking kreeg onmiddellijk grote weerklank. De reacties waren
algemeen afkeurend. Ook Microsoft zelf sprak zijn bezorgdheid uit over de
gebruikte techniek; het bedrijf doet overigens zelf
research
naar de gevaren van rootkits.
Drie dagen later bracht Sony een patch uit waarmee de onzichtbare software
"veilig" kon worden verwijderd. Twee dagen later bleek die patch niet correct te
functioneren en vooral te zorgen voor systeemcrashes. Ook bevatte de patch een
lek waar een Trojaans paard gebruik van maakte om zichzelf onzichtbaar in pc’s
te nestelen.
Het verhaal groeide in de daaropvolgende weken uit tot een ware soap, maar er
bleken wél meer dan een half miljoen pc’s te zijn besmet met de Sony XCP-rootkit.
Medio november 2005 haalde Sony de besmette cd’s eindelijk uit de winkels.
In Italië, Canada en de V.S. werd het bedrijf voor de rechter gedaagd, zaken die
uiteindelijk grotendeels minnelijk werden geschikt. Toen bleek ook dat
beveiligingsbedrijf F-Secure Sony al begin oktober ervoor had gewaarschuwd dat
de rootkit een slecht idee was, maar Sony had die waarschuwingen in de wind
geslagen. Wie naar de website van First 4 Internet surft, zal daar overigens
persberichten aantreffen waarin al in februari 2005 wordt aangekondigd dat
SonyBMG bepaalde cd’s zal uitrusten met XCP. Dat XCP een Windows-rootkit bevat,
wordt in het persbericht echter nergens vermeld.
Pas op 7 december 2005, 65 dagen na de ontdekking ervan, bracht Sony een
werkende uninstaller voor de XCP rootkit uit. Enkele dagen later pakte ook
Microsoft uit met een eigen Windows-update om de omstreden geheime software te
verwijderen.