alp 曰く、

Sony BMG の CD で組み込まれる rootkit に関してはここでも話題になりましたが、Sony BMG 及び First4Internet で提供している Web ベースのアンインストーラに更に大きな欠陥、というか (どう好意的に言っても致命的な設計ミスにより) アンインストーラがトロイの木馬を埋め込んでいる、との報告が Securityfocus から出ました。元のブログの内容を参照すると、アンインストーラを動かすために CodeSupport という ActiveX コントロールをインストールする仕組みになっていますが、このコントロールは「任意の Web サイトから任意のコードをユーザに問い合わせずダウンロードして実行する」機能を持つ上、アンインストーラ実行後も残ってしまう、ということです。といっても、米国ユーザの場合 Sony BMG の了解済みのアンインストーラを使用しない場合は、コピー防止手段の回避により DMCA で訴追される可能性があり、絵に描いたようなジレンマと言えましょう。

もうこの CD を買ったユーザは踏んだり蹴ったりですが、ひとまず教訓。「信用できないベンダのプログラムをアンインストールするために、信用できないベンダのツールを使ってはいけない」