"Лаборатория Касперского", российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о регистрации первой вредоносной программы, поражающей известную систему автоматизации "1С:Предприятие" отечественного разработчика "1С". Вирус, получивший название Virus.1C.Tanga.a, был создан в академических целях и не содержит деструктивной функциональности. Создатель программы сам направил ее экспертам компании для изучения...
«Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о регистрации первой вредоносной программы, поражающей известную систему автоматизации «1С:Предприятие» отечественного разработчика «1С». Вирус, получивший название Virus.1C.Tanga.a, был создан в академических целях и не содержит деструктивной функциональности. Создатель программы сам направил ее экспертам компании для изучения, — сообщили «Вслух.ру» в информационной службе «Лаборатории Касперского»."Tanga" распространяется в системе «1С:Предприятие7.7» посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение «ERT». Одним из встроенных в такой файл-отчет макромодулей и является вредоносной программой. Метод размещения «Tanga» в инфицированных файлах во многом соответствует макро-вирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, его открытии. Для своего распространения «Tanga» в полной мере использует мощный язык модулей «1С». Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и, таким образом, размножаться. Следовательно, данный вредоносный код является первой полноценной программой-инфектором, созданной для платформы «1С:Предприятие7.7». Для работы вирус использует специальную библиотеку «Compound.dll». В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия «Tanga» достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла «Compound.dll», затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением «ert». В найденных файлах проверяется наличие строки: Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае, вирус создает в файле модуль с именем «1C Programm text», в который записывает свой код. Необходимо отметить, что автор этой версии «Tanga» проявил понимание сложности работы антивирусных экспертов, и сделал все для того, чтобы минимизировать время анализа кода и ущерб от его возможного распространения. Для этого создатель вируса лишил его каких-либо деструктивных функций, сделав программу безопасной даже в случае заражения, а также снабдил направленный специалистам «Лаборатории Касперского» экземпляр развернутым описанием на русском языке. Подробная информация о программе «Virus.1C.Tanga.a» в настоящее время находится в стадии подготовки и вскоре будет доступна в рамках сетевой Вирусной Энциклопедии «Лаборатории Касперского».
