Контакты
Подписка
МЕНЮ
Контакты
Подписка

11 - Форум по вопросам информационной безопасности

11 - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Что ведет себя как USB? | 109137 01.04.2021 20:45
Доброго времени суток, Уважаемые коллеги!!!
Вводная: Сегодня при проверке машины (находится в локальной сети) на предмет ранее подключенных USB-устройств, в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

обнаружены записи вида:
Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&10c138a&0&HT33GLP00868&2
Название класса: <Класс отсутствует>
Последнее время записи: 01.04.2021 - 11:44

Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&10c138a&0&HT33GLP00868&2\Device Parametrs
Название класса: <Класс отсутствует>
Последнее время записи: 01.04.2021 - 11:44

Раздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&10c138a&0&HT33GLP00868&2\LogConf
Название класса: <Класс отсутствует>
Последнее время записи: 01.04.2021 - 11:44
...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&ZALMAN&Prod__Virtual_CD-Rom&Rev_\______XX00000001x0
Название класса: <Класс отсутствует>
Последнее время записи: 01.04.2021 - 11:44
...
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_HTC&Prod_Android_Phone&Rev_0000\7&c3b28c&0&HT48LW900760&0
Название класса: <Класс отсутствует>
Последнее время записи: 01.04.2021 - 11:44
...
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_&Prod_&Rev_8.07
Название класса: <Класс отсутствует>
Последнее время записи: 01.04.2021 - 11:44

Достоверно известно, что в этот момент времени никакие USB-устройства к компьютеру не были подключены.
Вопрос: Что это такое? С чем едят? Куда копать?
ЗАРАНЕЕ СПАСИБО ВСЕМ!!!

Автор: Коллега | 109138 02.04.2021 03:48
Дак судя по всему это устройства, определяемые при подключении смартфона HTC на Андроиде и какой-то Виртуальный CD-ROM через USB-интерфейс. Смотрите Журнал SecretNet (или аналогов) или ОС, если А(И)С классифицирована на предмет включения АРМ, работы с ним и подключений к нему железяк. Из неоткуда не может взяться запись в реестре ОС. Стоит-ли блокировка подключений к АРМ устройств ? Если только какие-то отложенный по времени действия, но тогда стоит АРМ антивирусами на предмет вредоносного ПО. Можно погуглить, но там много лишнего выдает и нужно копаться глубоко. Можно тестово подключить к этому АРМ ранее не подключавшееся устройства с USB-интерфейсом и посмотреть как реагирует система на новое оборудование и далее составить Акт о проверке системы НСД (например), что бы зафиксировать работы.

Просмотров темы: 103

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*