Alhoewel Sony de CD’s met de beruchte rootkit niet meer verkoopt en aangeboden heeft om de reeds verkochte CD’s om te ruilen is de rootkit zelf nog op vele PC’s in de wereld terug te vinden. Dat meldde een onderzoeker op de ShmooCon hacking conferentie die afgelopen weekend werd gehouden.

In tegenstelling op een eerder onderzoek, waaruit bleek dat nara schatting 570.000 computernetwerken ‘geïnfecteerd’ zouden zijn met de rootkit, schat onderzoeker Dan Kaminsky dat de rootkit op ongeveer 350.000 netwerken terug te vinden zou zijn. Daarvan zou een groot aantal netwerken van militaire instellingen en overheidsorganisaties zijn.

"Het staat niet ter discussie dat Sony’s code op militaire netwerken en overheidsnetwerken geïnstalleerd is en dat zijn niet alleen Amerikaanse netwerken", aldus Kaminsky in een interview na afloop van ShmooCon. Kaminsky wilde niet zeggen om hoeveel netwerken het in deze categorie zou gaan.

Het onderzoek van Kaminsky maakte gebruik van een feature die terug te vinden is in DNS servers. Computers geven door wanneer een bepaald adres wordt opgezocht door de server. Kaminsky werkte zich door een lijst van negen miljoen DNS servers, waarvan drie miljoen van buitenaf bereikbaar waren met een computer. Kaminsky verstuurde vervolgens DNS requests naar deze drie miljoen systemen, met het verzoek om te kijken of een bepaald adres in de cache was terug te vinden.

Het adres, ‘xcpimages.sonybmg.com’, werd gebruikt door de DRM software van Sony BMG. In de eerste tests halverwege november vorig jaar, vond hij 568.000 servers die drie adressen van Sony’s DRM hadden opgevraagd. 350.000 andere servers moesten uit de dataset gehaald worden, omdat ze het verzoek niet accepteerden.
Het meest recente onderzoek in december vorig jaar, leverde 350.000 servers op die het unieke adres in hun cache hadden staan.

Dat heeft volgens Kaminsky weer als gevolg dat honderduizenden, zo niet miljoenen computers, voorzien zijn van de rootkit.
Het onderzoek toont volgens de onderzoeker echter ook aan hoe weidverspreid de muziekpiraterij is. De 52 CD’s waarop de rootkit is te vinden werden alleen in Noord-Amerika verkocht. De rootkit was echter terug te vinden op computers in 135 landen. Volgens Sony zijn er in totaal 4,7 miljoen CD’s gemaakt met de rootkit en 2,1 miljoen stuks verkocht.

Hoe de rootkit zich heeft weten te verspreiden is vooralsnog een mysterie, maar volgens Kaminsky is het goed mogelijk dat een groot deel van de CD’s gekopiëerd is.

De resultaten van Kaminsky’s onderzoek komen op een slecht moment voor Sony BMG. Het bedrijf probeert momenteel het vervelende hoofdstuk af te sluiten. Eerder deze maand kreeg Sony BMG al toestemming van de rechter om een schikking te treffen met zes advocaten die namens een aantal cliënten een zaak hadden aangespannen tegen het bedrijf.

Kaminsky denkt echter niet dat Sony moet vrezen voor een aanklacht van de Amerikaanse overheid. "Ik kan me niet voorstellen dat de overheid een groot bedrijf als Sony gaat aanklagen. Het feit dat militaire netwerken geïnfecteerd zijn veranderd daar niets aan", aldus de onderzoeker.