Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline bluefragment  
#1 Оставлено : 26 октября 2011 г. 21:30:59(UTC)
bluefragment

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 7

Здравствуйте. Работаю в техподдержке системы, в которой используется КриптоПро CSP. Последнее время все чаще стала сталкиваться со следующим явлением. Контейнер (флешка либо дискета) не определяется через КриптоПро. В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение". Если скопировать содержимое папки, создать на компьютере папку с названием типа 111.000, вставить содержимое туда, скопировать на съемный носитель, такой контейнер уже через Крипто Про CSP определяется. Его можно скопировать, например, в реестр, и привязать к нему открытый ключ. При дальнейшей работе с такой копией ошибок не возникает.
Вопрос в следующем: известно ли, что это за вирус, и какие последствия могут быть от использования подобных копий в реестр?
Offline Андрей Писарев  
#2 Оставлено : 26 октября 2011 г. 21:48:47(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,612
Мужчина
Российская Федерация

Сказал «Спасибо»: 489 раз
Поблагодарили: 2032 раз в 1576 постах
Цитата:
В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение"

это объект не "папка", а обычный исполняемый файл с иконкой в виде папки
Техническую поддержку оказываем тут
Наша база знаний
Offline rozhkov  
#3 Оставлено : 26 октября 2011 г. 21:49:53(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

bluefragment написал:
...В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение"...
Вопрос в следующем: известно ли, что это за вирус, и какие последствия могут быть от использования подобных копий в реестр?

http://lmgtfy.com/?q=virus+folder.exe
Реестр является разрешенным считывателем, поэтому проблем с ним не будет.
Если после этого ЭЦП с привязкой к ключам в реестре работает корректно, то значит что все нормально, т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять.
Offline Андрей Писарев  
#4 Оставлено : 26 октября 2011 г. 21:50:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,612
Мужчина
Российская Федерация

Сказал «Спасибо»: 489 раз
Поблагодарили: 2032 раз в 1576 постах
Цитата:
Если скопировать содержимое папки, создать на компьютере папку с названием типа 111.000

когда щелкаем по названию "папки (приложения)" - запускается копия этого приложения и открывается в проводнике окно уже с содержимым оригинальной папки (которая скрыта)

Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#5 Оставлено : 26 октября 2011 г. 21:53:26(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,612
Мужчина
Российская Федерация

Сказал «Спасибо»: 489 раз
Поблагодарили: 2032 раз в 1576 постах
Цитата:
rozhkov
т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять.


скорее всего - вся система заражена...
в проводнике:
сервис - свойства папки - вид - отображать скрытые папки и файлы + снять флажок с "скрывать расширения для зарегистрированных типов файлов "...
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#6 Оставлено : 26 октября 2011 г. 21:55:14(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,612
Мужчина
Российская Федерация

Сказал «Спасибо»: 489 раз
Поблагодарили: 2032 раз в 1576 постах
после того, как "появится" расширение "ехе" у "папок" на флешке - можно отправить любое из этих приложений на проверку... например - http://virustotal.com/ru/
Техническую поддержку оказываем тут
Наша база знаний
Offline Андрей Писарев  
#7 Оставлено : 26 октября 2011 г. 22:49:18(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,612
Мужчина
Российская Федерация

Сказал «Спасибо»: 489 раз
Поблагодарили: 2032 раз в 1576 постах
а оригинальные папки - скрыты - в свойствах необходимо снять флаг... поэтому CSP не видит контейнеры на флешке... (папки)
Техническую поддержку оказываем тут
Наша база знаний
Offline bluefragment  
#8 Оставлено : 27 октября 2011 г. 13:01:14(UTC)
bluefragment

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.02.2011(UTC)
Сообщений: 7

rozhkov написал:
bluefragment написал:
...В свойствах папки, где находится закрытый ключ, в типе объекта указано "приложение"...
Вопрос в следующем: известно ли, что это за вирус, и какие последствия могут быть от использования подобных копий в реестр?

http://lmgtfy.com/?q=virus+folder.exe
Реестр является разрешенным считывателем, поэтому проблем с ним не будет.
Если после этого ЭЦП с привязкой к ключам в реестре работает корректно, то значит что все нормально, т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять.


большое спасибо за разъяснение!

Андрей * написал:
после того, как "появится" расширение "ехе" у "папок" на флешке - можно отправить любое из этих приложений на проверку... например - http://virustotal.com/ru/

при флаге "показывать расширения" .exe, конечно же, есть, не уточнила в первом посте. интересовал именно вопрос безопасности подобного копирования. за ссылку спасибо, в следующий раз попробуем. атрибут "скрытый" у подобного объекта не снимается, проходит успешное применение свойств, затем он снова появляется.
Offline Андрей Писарев  
#9 Оставлено : 27 октября 2011 г. 16:16:29(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,612
Мужчина
Российская Федерация

Сказал «Спасибо»: 489 раз
Поблагодарили: 2032 раз в 1576 постах
Цитата:
интересовал именно вопрос безопасности подобного копирования

так в том то и дело... что перед копированием - вы еще раз запускали "это" приложение (вирус)...

Цитата:
атрибут "скрытый" у подобного объекта не снимается, проходит успешное применение свойств, затем он снова появляется.

т.к. - уже есть в памяти вирус - он восстанавливает параметры, на скрытие...

Цитата:
rozhkov
т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять.


как раз - в реестре и прописалась автозагрузка "этого" приложения...
Техническую поддержку оказываем тут
Наша база знаний
Offline rozhkov  
#10 Оставлено : 27 октября 2011 г. 17:17:46(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

Андрей * написал:

Цитата:
rozhkov
т.к. я понимаю что этот вирус только из папок делает приложение, так что на реестр это не должно повлиять.


как раз - в реестре и прописалась автозагрузка "этого" приложения...

Вопрос был в том как он повлияет на ключи находящиеся в реестре, а не на систему в целом.
А причем автозагрузка "приложения" и его влияние на закрытые ключи в реестре? Вопрос риторический и разводить дискуссию бессмысленно, т.к. только будут только догадки и не более, никто ничего подтвердить не сможет.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.