Тема от entirewanda

  • entirewanda
  • Посетитель
  • Неактивен

Вся сеть заражена ruToken

Мы, несомненно, используем на каких-то компьютерах ruToken, но сегодня я обнаружил, что виртуальные кард-ридеры " Aktiv Co. ruToken" установлены абсолютно на всех компьютерах, включая сервера.

Хуже того, эти артефакты делают невозможным использование оригинальных виртуальных смарт-карт (VSC) Microsoft, т.к. судя по всему перехватывают или маскируют вызовы к ним.

В реестре создаются несколько ключей, в частности:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\ScDeviceEnum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\ScDeviceEnumBus
HKLM\System\CurrentControlSet\Control\DeviceClasses\{deebe6ad-9e01-47e2-a3b2-a66aa2c036c9} (всегда этот GUID)

Удалить их совершенно невозможно - они создаются заново при перезагрузке.
Целый день борьбы с участием ProcMon ничего не дали: все ключи создаются стандартными средствами Windows, такими как dwm.exe. ScDeviceEnum.dll и cfgmgr32.dll. Вообще нигде ни одного упоминания вызова к нестандартным файлам. Источник заражения непонятен.

Также на всем компьютере нет ни единого упоминания "Aktiv" или "ruToken" ни в одном файле. Несмотря на это, ключи в реестре с этими названиями упорно пересоздаются.

Позже обнаружил, что на виртуальные машины эти рутокены пропагируются через сервис интеграции (вероятно, проброс карт средствами Windows с последующей установкой), т.е. устанавливаешь новую виртуалку - все норм, чистенько, но стоит включить интеграцию с хостом - бац, опять рутокены. Но как они оказались установлены на всех физических серверах - ума не приложу.

Вы, несомненно, талантливые программисты, позавидует любой писатель malware :)
Но как избавиться???
PS. rtDrvRemover.exe использовал - не помогло

https://forum.rutoken.ru/uploads/images/2025/04/609f093540476d5be6bb9617562c6fe2.png
https://forum.rutoken.ru/uploads/images/2025/04/c12085c9fa7f65c70c01534ece69ce40.png

Ответ от entirewanda (2025-04-07 23:07:54 отредактировано entirewanda)

  • entirewanda
  • Посетитель
  • Неактивен

Re: Вся сеть заражена ruToken

Все понятно, разобрался. Это даже немного смешно. Кард-ридеры "установлены" на всех серверах, потому что я захожу на них через RDP, а ruToken установлен на моей собственной машине. Это редирект через RDP. Не знал об этом механизме, что редирект прям вот так встраивается в реестр и затем ведет себя как полноценное устройство.

Прошу прощения за беспокойство)

UPD: VSC работают. Как ни странно, через RDP доступны смарт-карты клиента, но недоступны сервера, так задумано. Поэтому создается впечатление, что ruToken "блокирует" серверные смарт-карты, которые доступны, к сожалению, только, например, через iLO

Ответ от Фатеева Светлана

  • Фатеева Светлана
  • Техническая поддержка
  • Неактивен

Re: Вся сеть заражена ruToken

Здравствуйте, entirewanda.
Верно, особенность протокола RDP в том, что при таком подключении "пробрасываются" локально подключенные токены (в том числе виртуальные считыватели) на удаленный компьютер и при этом перестают быть доступными токены, подключенные в удаленный компьютер.
Если же использовать программы для удаленного подключения, которые не используют протокол RDP, тогда будут доступны токены подключенные в удаленный компьютер.
Также не стоит забывать об ограничении в операционных системах семейства Windows на общее количество устройств чтения смарт-карт в "Диспетчере устройств" - не более 10 устройств.