Статус: Новичок
Группы: Участники
Зарегистрирован: 24.02.2011(UTC) Сообщений: 7
|
Здравствуйте. Работаю в техподдержке системы, в которой используется КриптоПро CSP. Последнее время все чаще стала сталкиваться со следующим явлением. Контейнер (флешка либо дискета) не определяется через КриптоПро. В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение". Если скопировать содержимое папки, создать на компьютере папку с названием типа 111.000, вставить содержимое туда, скопировать на съемный носитель, такой контейнер уже через Крипто Про CSP определяется. Его можно скопировать, например, в реестр, и привязать к нему открытый ключ. При дальнейшей работе с такой копией ошибок не возникает. Вопрос в следующем: известно ли, что это за вирус, и какие последствия могут быть от использования подобных копий в реестр?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,612 Сказал «Спасибо»: 489 раз Поблагодарили: 2032 раз в 1576 постах
|
Цитата:В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение" это объект не "папка", а обычный исполняемый файл с иконкой в виде папки |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
bluefragment написал:...В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение"... Вопрос в следующем: известно ли, что это за вирус, и какие последствия могут быть от использования подобных копий в реестр? http://lmgtfy.com/?q=virus+folder.exeРеестр является разрешенным считывателем, поэтому проблем с ним не будет. Если после этого ЭЦП с привязкой к ключам в реестре работает корректно, то значит что все нормально, т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,612 Сказал «Спасибо»: 489 раз Поблагодарили: 2032 раз в 1576 постах
|
Цитата: Если скопировать содержимое папки, создать на компьютере папку с названием типа 111.000 когда щелкаем по названию "папки (приложения)" - запускается копия этого приложения и открывается в проводнике окно уже с содержимым оригинальной папки (которая скрыта) |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,612 Сказал «Спасибо»: 489 раз Поблагодарили: 2032 раз в 1576 постах
|
Цитата:rozhkov т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять. скорее всего - вся система заражена... в проводнике: сервис - свойства папки - вид - отображать скрытые папки и файлы + снять флажок с "скрывать расширения для зарегистрированных типов файлов "... |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,612 Сказал «Спасибо»: 489 раз Поблагодарили: 2032 раз в 1576 постах
|
после того, как "появится" расширение "ехе" у "папок" на флешке - можно отправить любое из этих приложений на проверку... например - http://virustotal.com/ru/ |
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,612 Сказал «Спасибо»: 489 раз Поблагодарили: 2032 раз в 1576 постах
|
а оригинальные папки - скрыты - в свойствах необходимо снять флаг... поэтому CSP не видит контейнеры на флешке... (папки) |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.02.2011(UTC) Сообщений: 7
|
rozhkov написал:bluefragment написал:...В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение"... Вопрос в следующем: известно ли, что это за вирус, и какие последствия могут быть от использования подобных копий в реестр? http://lmgtfy.com/?q=virus+folder.exeРеестр является разрешенным считывателем, поэтому проблем с ним не будет. Если после этого ЭЦП с привязкой к ключам в реестре работает корректно, то значит что все нормально, т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять. большое спасибо за разъяснение! Андрей * написал:после того, как "появится" расширение "ехе" у "папок" на флешке - можно отправить любое из этих приложений на проверку... например - http://virustotal.com/ru/ при флаге "показывать расширения" .exe, конечно же, есть, не уточнила в первом посте. интересовал именно вопрос безопасности подобного копирования. за ссылку спасибо, в следующий раз попробуем. атрибут "скрытый" у подобного объекта не снимается, проходит успешное применение свойств, затем он снова появляется.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 12,612 Сказал «Спасибо»: 489 раз Поблагодарили: 2032 раз в 1576 постах
|
Цитата:интересовал именно вопрос безопасности подобного копирования так в том то и дело... что перед копированием - вы еще раз запускали "это" приложение (вирус)... Цитата:атрибут "скрытый" у подобного объекта не снимается, проходит успешное применение свойств, затем он снова появляется. т.к. - уже есть в памяти вирус - он восстанавливает параметры, на скрытие... Цитата:rozhkov т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять. как раз - в реестре и прописалась автозагрузка "этого" приложения... |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
Андрей * написал:Цитата:rozhkov т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять. как раз - в реестре и прописалась автозагрузка "этого" приложения... Вопрос был в том как он повлияет на ключи находящиеся в реестре, а не на систему в целом. А причем автозагрузка "приложения" и его влияние на закрытые ключи в реестре? Вопрос риторический и разводить дискуссию бессмысленно, т.к. только будут только догадки и не более, никто ничего подтвердить не сможет.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close