Gestern war ich mal wieder im Saturn. Eigentlich stand eine Anlage auf dem Einkaufszettel, aber wenn man schon mal da ist, kann man ja gleich mal bei den CDs vorbeigucken. Gesagt, getan. Am Ende standen meine Freundin und ich mit 4 CDs an der Kasse. Darunter auch Roxette – The Ballad Hits. Zu hause angekommen sollte die CD natürlich auch gehört werden. Also (mangels CD-Player) ab ins Notebook damit. Statt Winamp öffnete sich ein anderer Player. Na ja, DRM ist man ja leider gewohnt, aber auf den Notebook-Boxen hört man ja eh diese miese Qualität nicht. Erst als ich heute auf meine Platte guckte dämmerte mir, was da geschehen war. Ich entdeckte zwei Dateien auf C:\. Einmal INSTALL.LOG und einmal UNWISE.EXE. Beim Blick in INSTALL.LOG dachte ich, ich sehe nicht richtig:
File Overwrite: C:\WINDOWS\system32\atl.dll
File Copy: C:\WINDOWS\ActiveSkin.INI
File Copy: C:\WINDOWS\system32\ActiveSkin.ocx
File Overwrite: C:\WINDOWS\system32\shlwapi.dll
File Overwrite: C:\WINDOWS\system32\urlmon.dll
File Overwrite: C:\WINDOWS\system32\wininet.dll
Der Player hat sich nicht nur ungefragt installiert – nein, er hat dabei auch diverse Windows-Systemdateien überschrieben! Erinnerungen an Sony wurden wach… Ich sicherte erstmal die Log-Datei und hoffte auf einen funktionierenden Uninstaller. Pustekuchen. Nach der Deinstallation war zwar der Uninstaller und die Log-Datei weg – die überschriebenen Dateien sowie die beiden ActiveSkin-Dateien waren aber noch da. Also war Handarbeit angesagt… Immerhin sind die überschriebenen Dateien scheinbar alle von Windows geschützt, so dass sie (in anderen Versionen als vorher, also vermutlich saubere Versionen) alle wiederhergestellt wurden, als ich sie einfach verschoben habe.
Eine Mail an Emi, die Plattenfirma zu der Platte, ist bereits raus. Ich werde die Antwort auf meine Frage, wie sie dazu kommen, bei mir Systemdateien zu überschreiben ohne das ich dem zugestimmt habe, natürlich hier dokumentieren.
Es gibt ein Update!
Pingback: SIXTUS.NET | Mario Sixtus, freier Journalist
Pingback: Pädagogische Gewalt
Wie sicher bist Du denn, dass die beiden Dateien nicht vorher schon da waren, wenn man mal nachfragen darf?
Ich gehe nicht davon aus, das es sich hierbei um ein Rootkit oder ähnliches handelt. Die Cd hat laut http://club.cdfreaks.com/showthread.php?t=54783 ‘nen Cactus Data Shield Kopierschutz und der wurde schon ausführlich von der CT getestet. (http://www.heise.de/newsticker/meldung/7737) Denen währe das aufgefallen. Allerdings ist diese Roxette CD 2002 erschienen und Heise hat 2000 den Kopierschutz getestet. Da kann viel passiert sein. Allerdings gibt es die Firma die das Teil entwickelt hat leider nicht mehr und so ist es schwer an technische Deteils zu kommen.
@diaet
Absolut sicher. Ich habe es danach nochmal auf einem anderen Rechner nachvollzogen und habe danach auch die beiden Dateien auf C:\ gehabt – im INSTALL.LOG stand auch das gleiche.
@brodo
Jedenfalls werden laut Installations-Log hier Systemdateien überschrieben. Ob die konkreten Dateien Sicherheitsprobleme begründen oder nicht kann ich nicht sagen. Aber allein dieses Verhalten finde ich, insbesondere ohne Rückfrage, nicht in Ordnung.
Ich habe heute auch einen Uninstaller von EMI geschickt bekommen. Dieser trägt aber im Titel schon “Skin Uninstall”, beruhigt mich also auch nicht so wirklich. Die ActiveSkin-Dateien sind danach jedenfalls immerhin weg.
Kennt jemand eine Möglichkeit herauszufinden, was genau ein Programm tut? Dann würde ich das Programm mal auf den Player bei der Installation loslassen und gucken, was da wirklich passiert.
Ich kenn mich mit Reverse-Engeneering nicht wirklich aus, aber du kannst ja mal Filemon laufen lassen:
http://www.sysinternals.com/Utilities/Filemon.html
Ansonsten gibts für Linux strace – ka obs das für Windows gibt. Letzte möglichkeit ist noch ein Debugger.
Pingback: :.: abaihmseins :.: » plattenfirmen heute
Pingback: marek`s weblog » Blog Archive » Warum ich meine CDs doch lieber in meiner Stereo-Anlage höre..
Pingback: Nur mein Standpunkt » Blog Archive » Zweites Rootkit-Gate?
Pingback: JURAAA!DE - mein Blog zum Jura-Studium an der Uni Münster
Pingback: DiTTES.iNFO BLOG » Hilfe! Mein PC wurde gekitnappt!
Pingback: JURAAA!DE - mein Blog zum Jura-Studium an der Uni Münster » Archiv » Wo bleibt der Schutz vor dem Kopierschutz?
@brodo: genau! filemon ist ein gutes tool um das zu überwachen. aber vorsicht: mit reverse-engineering macht man sich idr strafbar. daher lieber tools benutzen, die wirklich nur die umgebung beobachten.
der kopierschutz ist passiv, mit dem sollte das nichts zu tun haben. es geht hier umden player, der bei der installation ein paar blöde angewohnheiten an den tag legt.
@la-z: bin auf die mail von emi gespannt. bitte aber noch abklären, ob die veränderung an windows -systemdateien von seiten der produktionsfirma dokumentiert ist. (siehe mein blogeintrag)
Pingback: Kuroi Tenshi's darkness
Also das mit der Strafbarkeit von Reverse-Engineering ist afaik so ne sache. Grundsätzlich verboten ist es zumindest nicht. Aber als Software-Hersteller kann mans in der EULA verbieten. Wobei ich auch gehört hab das EULAs nicht wirklich verbindlich sind d.h. man darf sie brechen wenn da etwas drinsteht was nicht gesetzeskonform ist.
Pingback: Antifreeze
Pingback: musikblog: machen, hören, recherchieren, kommentieren. » Benutzt EMI auch einen fragwürdigen Kopierschutz?
Pingback: Strickleiter »
So ‘ne Art Manueller Trackback…sorry g
Pingback: Oben wie Unten » Roxette - The Ballad Hits
Pingback: Blog TXT
Pingback: Jaaa, Blog.
Pingback: Plattenfirmen heute - Update at Alltag in Berlin
Tscha, wenn das so nicht auf der CD beschrieben stand oder via Einverständnisserklärung beim Installationsvorgang angekündigt wurde, hat sich da wohl wiedermal ein Produzent CD-artiger Platikscheiben mit einer Datenveränderung nach § 303a StGB strafbar gemacht.
Darauf stehen immerhin bis zu zwei Jahre Knast.
Wegen Wiederherstellungsfunktion von Windows für Systemdateien: § 303a Abs. 2 Der Versuch ist strafbar.
Pingback: aquablog » Blog Archiv » Weitere Musik-CDs mit ungefragten Installationen
Pingback: Schorleblog » Blog Archive » verstehe einer die plattenfirmen
Pingback: Zeitgeistaustreibung
Die angegebenen Systemdateien sind Bestandteil jeder Windows-Installation und waren 100% vor “Installation der Audio-CD” (brrr… was ein Begriff) vorhanden.
Soweit ich mich erinnere, gehören diese Dateien (zumindest die unteren 3) zum Internet Explorer. ATL ist ein Framework für die Software-Erstellung. Die Vermutung Rootkit liegt tatsächlich nahe, wenn man die Dateinamen betrachtet. wininet.dll kümmert sich um den IP-Stack, also alle Verbindungsaufbauten, shlwapi.dll um die Präsentation der Shell (sprich auch Verzeichnisse/Dateien). urlmon.dll weiss ich nicht auswendig, aber der Namen spricht für sich.
Ein wenig Konsumverzicht könnte doch hier glatt Wunder wirken.
In anderen Ländern klappt das auch – und zwar so gut dass die MiFi ihre CD-ähnlichen Machwerke wieder aus den Läden entfernt hat und durch richtige CDs ersetzt hat. Auf den Haufen gelegt:
Eine “kopiergeschützte” CD ist:
– anfälliger für Abspielfehler
da die Fehlerkorrektur wesentlich mehr gefordert ist als nötig
– lässt sich auf vielen Geräten nicht abspielen
– installiert im Zweifelsfall noch ‘merkwürdige’ Software auf PCs
– macht diese PCs anfällig für Viren und Würmer
– hindert den Nutzer an der bestimmungsgemässen Verwendung seiner HW
( CD-Brenner)
– ist eventuell auf zukünftigen Abspielgeräten nicht mehr abspielbar
Und für so etwas gebt ihr Geld aus?
jo was geht ich finde eure seiten ganz ok aber es mussten schon genauere seiten zu verfügung sein oki bitte
bis dann bye
Dieser Installer ist übrigens auch auf der CD “Mensch” von Herbert Grönemeyer enthalten (Ausgabe mit Papp-Case). Da diese ebenfalls von EMI ist, wird er wohl noch auf weiteren CDs von denen zu finden sein.
Nach Einlegen der frischerworbenen “SKA Heroes” und Installieren des EMI-Players kann mein Computer keine .mp3 Dateien mehr abspielen! Ich habe mal EMI angeschrieben und um einen Uninstaller gebeten.
Pingback: Schorleblog » verstehe einer die plattenfirmen