Tanga: первый вирус, поражающий 1C
17-06-2005 22:02
к комментариям - к полной версии
- понравилось!
Лаборатория Касперского, российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о регистрации первой вредоносной программы, поражающей систему 1С:Предприятие.
Данный вирус, получивший название Virus.1C.Tanga.a, был создан в исследовательских целях. Создатель программы сам направил ее экспертам Лаборатории Касперского для изучения. Автор Tanga минимизировал время анализа кода и ущерб от его возможного распространения — лишил вирус каких-либо деструктивных функций и снабдил развернутым описанием на русском языке.
Tanga распространяется в системе 1С:Предприятие7.7 посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение .ERT. Одним из встроенных в такой файл-отчет макромодулей и является вредоносная программа. Метод размещения Tanga в инфицированных файлах во многом соответствует макро-вирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, при его открытии.
Для своего распространения Tanga использует язык модулей «1С». Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и таким образом размножаться. Данный вредоносный код является первой полноценной программой-инфектором, созданной для платформы «1С:Предприятие7.7» и записывающей свой код в служебные файлы системы формата .ERT.
Для работы вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия Tanga достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll, затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ERT. В найденных файлах проверяется наличие строки Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае вирус создает в файле модуль с именем 1C Programm text, в который записывает свой код.
вверх^
к полной версии
понравилось!
в evernote
Лаборатория Касперского, российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о регистрации первой вредоносной программы, поражающей систему 1С:Предприятие.
Данный вирус, получивший название Virus.1C.Tanga.a, был создан в исследовательских целях. Создатель программы сам направил ее экспертам Лаборатории Касперского для изучения. Автор Tanga минимизировал время анализа кода и ущерб от его возможного распространения — лишил вирус каких-либо деструктивных функций и снабдил развернутым описанием на русском языке.
Tanga распространяется в системе 1С:Предприятие7.7 посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение .ERT. Одним из встроенных в такой файл-отчет макромодулей и является вредоносная программа. Метод размещения Tanga в инфицированных файлах во многом соответствует макро-вирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, при его открытии.
Для своего распространения Tanga использует язык модулей «1С». Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и таким образом размножаться. Данный вредоносный код является первой полноценной программой-инфектором, созданной для платформы «1С:Предприятие7.7» и записывающей свой код в служебные файлы системы формата .ERT.
Для работы вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия Tanga достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll, затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ERT. В найденных файлах проверяется наличие строки Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае вирус создает в файле модуль с именем 1C Programm text, в который записывает свой код.
Комментарии (7):
ужас, кошмар и всякие прочие подходящие слова... :)
Elusive_Lover
17-06-2005-22:24
удалить
Scheddi, ага ;)
это прям все для тебя ;)
надеюсь сия участь тебя не коснется, и все твои сервера останутся живы. Но каспер - рулит ;)
это прям все для тебя ;)
надеюсь сия участь тебя не коснется, и все твои сервера останутся живы. Но каспер - рулит ;)
Elusive_Lover, ну да, конечно... всю жизнь мечтала о вирусе под 1с :)
И у нас Нортон стоит. А вирус наш местный, так что когда еще обновление будет... Хотя он не вредный, да и вообще подконтрольный, так что ничего, разберемся :)
И у нас Нортон стоит. А вирус наш местный, так что когда еще обновление будет... Хотя он не вредный, да и вообще подконтрольный, так что ничего, разберемся :)
Elusive_Lover
17-06-2005-23:13
удалить
Scheddi, главное что бы в вашей сети не было выхода в нет, тогда может и обойдется
Elusive_Lover, а зачем для этого выход в инет? и так принесут... на дискете (т.е. на флешке)
Отрада-Севастополь
18-06-2005-09:11
удалить
" Хорошие новости " - ужас...
Elusive_Lover
18-06-2005-09:18
удалить
Отрада-Севастополь, это еще не самые "хорошие новости"... увы... может еще напишу.......
Комментарии (7):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Tanga: первый вирус, поражающий 1C | Elusive_Lover - Elusive_Lover |
Лента друзей Elusive_Lover
/ Полная версия
Добавить в друзья
Страницы:
раньше»