Создан первый вирус против "1С"
Система автоматизации "1С: Предприятие" перестала быть неуязвимой для вредоносных программ. Впервые был обнаружен вирус для этой платформы.
Как сообщает «Лаборатория Касперского», вирус, получивший название
Virus.1C.Tanga.a, распространяется в системе «1С: Предприятие 7.7» посредством заражения пользовательских файлов, которые отвечают за внешние отчеты и имеют расширение .ert. Вредоносная программа встраивается в один из таких
Microsoft Office, они могут иметь автоматические именные идентификаторы,
срабатывающие при различных действиях с файлом, например, при его открытии.
Для распространения Tanga использует язык модулей «1С», который позволяет ему обращаться к другим файлам, включая и отчеты, подобные зараженным. Таким образом происходит заражение. При этом вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Если же он имеется, то вредоносная программа последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ert. В найденных файлах проверяется наличие строки Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае вирус создает в файле модуль с названием «1C Programm text», в который записывает свой код.
Следовательно, данный вредоносный код является первой полноценной
записывающей свой код в служебные файлы системы формата .ert.
Стоит отметить, что сейчас вирус не представляет никакой опасности для пользователей «1С: Предприятие». Зловредный код был написан в экспериментальных целях и не содержит деструктивных функций. Однако уже сам факт разработки подобной программы говорит о возможности создания полноценного вируса, который сможет нанести огромный ущерб компаниям.
Virus.1C.Tanga.a
| Детектирование добавлено | 15 июн 2005 |
| Описание опубликовано | 16 июн 2005 |
| Поведение | Virus, компьютерный вирус |
| Технические детали |
Вирус распространяющийся в системе 1С:Предприятие 7.7 (см. «Фирма 1C»). Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие
7.7 (файлы внешних отчетов, имеют расширение имени ERT).
Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ
расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом
напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются
в специальном блоке данных в файле-отчете, они активизируются при открытии файла.
Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при
различных действиях с файлом-отчетом, например, открытие файла.
Язык модулей 1C является достаточно мощным и позволяет обращаться к другим
дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного
типа для своего распространения.
В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.b) данный вирус является полноценным инфектором, способным записывать свой
код в файлы *.ert.
Вирус содержит в себе текстовые комментарии автора:
// This is example virus
// Not destruction function
//
// Name: Tango.ERT.2622
//
// by sniper
// Togliatti, June 2005
//
// information for contact:
// not information
Для работы вирус использует специальную библиотеку — Compound.dll. В
случае если данный файл отсутствует в системе, вирус выполняться не будет.
При запуске (открытии зараженного ert-файла), вирус проверяет наличие в системе
файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске
и ищет файлы с расширением ert.
В найденных файлах проверяется наличие строки:
Tango.ERT.2622
Если она найдена, значит файл уже был заражен ранее и повторного заражения
не происходит. В противном случае вирус создает в файле модуль с именем «MD
Programm text», в который записывает свой код.
Вирус не содержит никаких деструктивных функций.