В "Лабораторию Касперского" прислали опытный вирус для программ 1С

"Лаборатория Касперского" распространила пресс-релиз о первом вирусе, поражающем программы системы автоматизации "1С:Предприятие". В пресс-релизе сказано: "Найден первый полноценный вирус...", однако, как следует из текста релиза, автор вируса (некто Sniper из города Тольятти, это следует из пояснительных строк в коде вируса) сам прислал его на изучение в "Лабораторию Касперского" вместе с подробными пояснениями, что к чему. Кроме того, вирус лишён каких-либо деструктивных функций.

Tanga распространяется в системе "1С:Предприятие 7.7" посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение .ert. Метод размещения Tanga в инфицированных файлах во многом соответствует макровирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, при его открытии.

Для своего распространения Tanga использует язык модулей 1С. Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и, таким образом, размножаться. Как сообщается в "Вирусной энциклопедии Касперского", в отличие от первых известных вирусов для платформы 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.b) данный вирус является полноценным инфектором, способным записывать свой код в файлы .ert.

Для работы вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия Tanga достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll, затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ert. В найденных файлах проверяется наличие строки: Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае, вирус создает в файле модуль с именем "1C Programm text", в который записывает свой код.

Тематики: Интернет, ПО

Ключевые слова: