Перейти к содержанию
broker

Конфликт КриптоПро CSP c антивирусами

Recommended Posts

broker

у нас тут прошло незамеченным очень интересное событие - Конфликт КриптоПро CSP c антивирусами.

Кратко о ходе инцидента:

Многие антивирусы, после обновления антивирусных баз, посчитали продукт КриптоПро CSP, точнее файл cproctrl.sys - вредоносной программой:

1. Антивирус Касперского - Rootkit.Win32.Agent.oy. (22/11/2007)

2. Symantec AntiVirus - Hacktool.Rootkit. (23/11/2007)

3. AVG - BackDoor.Generic9.CGU (23/11/2007)

4. F-Prot - W32/Cinmus.E.gen!Eldorado (23/11/2007)

5. F-Secure 6.70.13030.0 2007.11.23 - W32/Rootkit.BAK (23/11/2007)

По некоторым данным Антивирусы удаляли весь криптопровайдер, включая хранилище ключевой информации.

Переустановка КриптоПро CSP не решает проблемы.

Для устранения проблем, связанных с ошибочной диагностикой

антивирусом Symantec криптодрайвера CSP как вируса, разработчики

КриптоПро выпустили пакет исправлений SP3 для КриптоПро CSP 3.0

Ссылка на файл: http://crypto-pro.ru/cryptopro/download/default.asp

Правила установки:

Установка производится пользователем с правами администратора.

SP3 может быть установлен поверх CSP 3.0 без SP (версия 3.0.3293), CSP 3.0 с SP1

(версия 3.0.3300.1), CSP 3.0 с SP2 (версия 3.0.3300.2). После установки SP3

номер версии CSP будет 3.0.3300.3.

Информация от КриптоПро

25.12.2007

Информация для пользователей КриптоПро CSP 3.0, использующих Symantec Antivirus

После обновления антивирусных баз (начиная с 21.12.07) антивирус Symantec может начать срабатывать на файл криптодрайвера CProCtrl.sys из состава КриптоПро CSP 3.0 (для ОС Windows 2000 название файла CProCt2k.sys). Для того, чтобы этого не происходило, рекомендуется установить пакет обновлений SP3 для КриптоПро CSP 3.0. Дистрибутив SP3 можно получить по ссылке. Для установки SP3 требуются права администратора компьютера. Перед установкой SP3 рекомендуется перезагрузить компьютер, после установки SP3 перезагрузка обязательна.

Чтобы в дальнейшем избежать появления данной проблемы файл CProCtrl.sys (или CProCt2k.sys для Windows 2000) нужно добавить в исключения для антивируса. Это делается в панели Symantec Antivirus, выбором раздела меню Configure, затем - File System Auto-Protect. В правой части панели находится кнопка Exclusions, после ее нажатия можно будет указать файлы, которые не требуется проверять:

для Windows XP, 2003 - 1) WINDOWSSYSTEM32driverscproctrl.sys 2) Program FilesCrypto ProCSPcproctrl.sys;

для Windows 2000 - 1) WINNTSYSTEM32driverscproct2k.sys 2) Program FilesCrypto ProCSPcproct2k.sys

http://www.cryptopro.ru/cryptopro/news/default.asp?n=199

Очень странно, что данное событие не было отражено у нас на форуме

Скажу более, удаленный Symantec файл не восстанавливался и карантина и требовалась полная переустановка криптопровайдера, это существенные недостаток в работе Symantec Corp Ed 10.x

По возможности нужны комментарии от Антивирусный вендоров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

Дата и время добавления детектирования:

21.11.07 6:49

Дата и время обнаружения и устранения ложного срабатывания:

21.11.07 14:43

какие еще комментарии вы хотите услышать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

A.

проблема случилась в декабре 2007, т.е. 21-25.12.2007.

Дата и время добавления детектирования:

21.11.07 6:49

Дата и время обнаружения и устранения ложного срабатывания:

21.11.07 14:43

неактуально

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A.

проблема случилась в декабре 2007, т.е. 21-25.12.2007.

Дата и время добавления детектирования:

21.11.07 6:49

Дата и время обнаружения и устранения ложного срабатывания:

21.11.07 14:43

неактуально

Факты в студию.

1. Антивирус Касперского - Rootkit.Win32.Agent.oy. (22/11/2007)

у меня со зрением все нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sangraf

Есть также проблема совместной работы Vipnet и DrWeb

Решается обычной настройкой доктора

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Факты в студию.

http://www.cryptopro.ru/cryptopro/news/default.asp?n=199

речь об антивирусе Symantec

Но в общем случае, хотелось бы узнать о данном событии чуть пораньше.

Есть также проблема совместной работы Vipnet и DrWeb

Решается обычной настройкой доктора

настройкой исключений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sangraf
Факты в студию.

http://www.cryptopro.ru/cryptopro/news/default.asp?n=199

речь об антивирусе Symantec

Но в общем случае, хотелось бы узнать о данном событии чуть пораньше.

Есть также проблема совместной работы Vipnet и DrWeb

Решается обычной настройкой доктора

настройкой исключений?

Да

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> у нас тут прошло незамеченным очень интересное событие - Конфликт КриптоПро CSP c антивирусами.

Гм, а от взгляда общественности видимо ускользнуло то, что "...Впервые российские средства криптографической защиты полностью интегрированы в операционную систему Windows..." делается методом брутального патча системной advapi32.dll с принудительной подгрузкой сторонней библиотеки. Обе не подписаны должным образом, и могут быть подменены злоумышленником.

Не троян говорите? ну-ну...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
    • Vvvyg
      Ну, хоть что-то полезное на форуме появилось ) Почистил.
    • akoK
      А куда все разбежались? Зашел, а тут все спамом затянуто.
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • PR55.RP55
      " 12 апреля 2022 года компания Microsoft опубликовала информацию о новом вредоносном ПО под названием Tarrask. Угроза использует баг планировщика Windows, чтобы избежать обнаружения. " " Tarrask удаляет значение дескриптора безопасности (Security Descriptor, SD) задачи в реестре Windows, что приводит к исчезновению задачи из планировщика задач и из инструмента командной строки. " https://www.comss.ru/page.php?id=10384    
×