rkcybere.rkr = explorer.exe

[aleksy]

Система Win XP SP3.
Нужно было найти кое-какие ключи в реестре. Всё удачно нашлось. Но были и дополнительные результаты поиска, которых я не ожидал. Например, rkcybere.rkr, который, как оказалось, значит лишь explorer.exe.
А сами ветки шифруются например так HRZR_EHACVQY. Причем записи совсем не серьезные. То ссылка на файлик с рабочего стола, то ещё что. Обычные записи системы, но почему-то они дублируются, как я понял, именно вот так. Хотя и некоторые. Не все.

Поиск за те пять минут, что я ему уделил, не принес ничего кроме Windows XP: Зачем Explorer шифрует данные в реестре?

Я даже подозреваю, что если все их удалить, то все исправно будет работать и дальше.
Однако, хотелось бы узнать, что за диво? для чего система это делает?
В общем такой вот вопрос. И хотелось бы как-то получше его себе объяснить.

Буду признателен каждому, кто прольет хоть какой-нибудь свет, на такой вопрос.

[Karolinka]

Абсолютно не в курсе.

[Александр Нуждаев]

Ни разу не видел, чтобы Эксплорер так шифровался.

А вот что есть вирусы, которые так делают -- слышал.

[aleksy]

Ни разу не видел, чтобы Эксплорер так шифровался.

А вот что есть вирусы, которые так делают -- слышал.

Так и я не видел. Но моё штудирование реестра выпало на времена XP SP1 или XP SP2. Если MS добавил только в SP3 такие изменения, то это может объяснить, почему мы не знаем. С другой стороны, шифрование очень простецкое и MS мог бы, когда хотел сделать цифровые коды, в которых не разберешься, что как бы намекает, что производителем чуда мог быть и не MS.

Подозрение на вирус тоже уместно. Но не только нет никаких признаков вирусной активности, ни и никакое антивирусное ПО ничего не кажет. А уж будь то какой известный вирус, ПО его бы заметило. Потому что реестр просмаривает, а тут очень характерные следы. И не нужно никакой эвристики.

Ещё версия: не вирус, но следы какого-нибудь приложения, которое себя таким образом защищает. К примеру, ставилась триальная версия чего-нибудь, и оно могло бы что-то такое прописать, чтобы поиск по обычным словам его не нашел. Но, опять же, многие пути прописаны даже от случайных ярлыков. На что ему это?

Ещё версия, какой нибудь редкий руткит, или что-то типа того. Но такие штуки обычное умные. Зачем им использовать примитивное шифрование вместо хорошего?

В общем какую версию не прикину, ни одна не выдерживает критики. 

[aleksy]

Вообще это наивное такое шифрование ROT 13

О нем к примеру пишут следующее:

ROT13 использовался в новостном форуме net.jokes в начале 1980-х[3]. Он использовался, чтобы скрыть потенциально оскорбительные шутки или ответ на головоломку или спойлер.

Сдвиг на тринадцать знаков был выбран по сравнению с другими значениями, такими как три, как в оригинале шифра Цезаря, потому что тринадцать это число, которое обеспечивает как кодирование, так и декодирование, тем самым предоставляя единое удобство для обеих команд.

 ROT13, как правило, поддерживается в качестве встроенной функции в функциях программного обеспечения для чтения лент новостей. Адреса электронной почты также иногда кодируют алгоритмом ROT13, чтобы скрыть их от не самых продвинутых спам-ботов.

ROT13 представляет собой частный случай алгоритма шифрования, известного как шифр Цезаря, приписываемый Юлию Цезарю в I веке до нашей эры. Более специфичный случай использования шифрования — индийским философом Ватсьяяна Малланага, автором секс-руководства Кама Сутра.


 ROT13 не предназначен для использования с конфиденциальной информацией; использование постоянного сдвига означает, что шифрование фактически не имеет ключа и для расшифровки требуется не больше знаний, чем тот факт, что может использоваться ROT13.

Даже без этих знаний, алгоритм легко дешифруется посредством частотного анализа. Поскольку он полностью несоответствует реальной защите тайны, ROT13 стал жаргонным словом для обозначения какой-либо явно слабой схемы шифрования; критика может утверждать, что «56-битный DES это немного лучше, чем ROT13 в прошлом». Кроме того, часто используется сходство с реальными выражениями, например, «double DES», используют с чувством юмора «double ROT13», «ROT26» или «2ROT13», в том числе в пародийной академической работе «On the 2ROT13 Encryption Algorithm»[6].

Применив алгоритм ROT13 к уже ROT13-зашифрованному тексту, получим первоначальный текст; ROT26 — эквивалент отсутствия шифрования как такового. В дополнение, тройное применение ROT13 или 3ROT13 (используется по шутливой аналогии с 3DES) эквивалентно обычному ROT13.

В декабре 1999 года было установлено, что Netscape Communicator использовал RОТ-13 в рамках небезопасной схемы для хранения паролей электронной почты.

 В 2001 году русский программист Дмитрий Скляров продемонстрировал, что поставщик eBook, компания New Paradigm Research Group (NPRG), использовала ROT13 для шифрования своих документов; предположительно, что в NPRG ошибочно применили ROT13 в игрушке, для примера предоставляемой Adobe с инструментарием Software Development Kit для eBook для серьёзного шифрования.

Windows XP использует ROT13 для некоторых ключей своего реестра.



У меня просьба к тем, кто умеет работать с реестром.
Кто не умеет -- даже не читайте дальше. Можете сломать систему! Она может даже не загрузиться у вас совсем.

Итак просьба. Если под рукой есть Win XP, а лучше WIN XP SP3 задайте в реестре запрос на поиск  rkcybere.rkr (в regedit должна обязательно стоять галочка "параметры"), а не найдется ли оно и у вас?

Ещё в интернетах пишут, что это может быть связано с USER ASISTANT -- собакой, которая выскакивает при поиске. Если это верно. И если это только Жучка так шифрует, а вы ей никогда не пользовались, то ROT 13 у вас в реестре может и не быть.

----------------
Поиграть с ROT 13 можно вот здесь: http://rot13.de/