Вирус для 1С 7.7
Тольяттинские умельцы осваивают основы вирусописания?
Информация N4122
для пользователей и партнеров 17.06.2005
О сообщении Лаборатории Касперского про обнаружение вируса для
"1С:Предприятия 7.7"
16 июня 2005 г. в Вирусной Энциклопедии "Лаборатории Касперского" было
опубликовано сообщение про обнаружение "вируса" для "1С:Предприятия 7.7"
(http://www.viruslist.com/ru/viruses/encyclopedia?virusid=85129, копия - в
Приложении к данному письму).
Фирма "1С" выражает Лаборатории Касперского благодарность за проявленную
бдительность и обращает внимание своих пользователей и партнеров на
следующие моменты.
Наличие среды разработки и, соответственно, предметно-ориентированного
встроенного языка является одним из ключевых преимуществ технологической
платформы "1С:Предприятие". Конечно, то, что возможности нашей системы и
ее широкую распространенность пытаются использовать в деструктивных целях,
для нас очень неприятно - мы не видим здесь поводов для саморекламы и
пиара.
Мы будем изучать ситуацию и проводить консультации с разработчиками
антивирусных программ. Однако, в данном случае, можно с достаточной
степенью уверенности утверждать, что опасность эпидемического
распространения подобных вирусов не очень высока. В отличие от документов
или электронных таблиц офисных программ, файлы внешних отчетов
"1С:Предприятия" (файлы с расширением .ERT, в которых хранятся шаблоны
внешних отчетов) не являются предметом обмена между пользователями, они
крайне редко пересылаются по электронной почте или копируются на мобильные
носители.
В подтверждение можно напомнить, что на самом деле это не первое
"открытие" Лабораторией Касперского вирусов для "1С:Предприятия" -
18.09.2001 г. сообщалось о появлении семейства вирусов "Bonny"
(http://www.kaspersky.ru/news?id=252 также способных заражать файлы
внешних отчетов. При этом указывалось, что вирус "Bonny" мог уничтожать
содержащуюся в этих отчетах информацию - в отличие от вируса "Tanga",
который был даже не выявлен в реальном распространении, а получен в
результате взаимодействия разработчиков вирусов и антивирусных программ.
Тем не менее до настоящего момента в службу технической поддержки "1C"
обращений пользователей, реально пострадавших от вируса "Bonny", не
поступало.
Также необходимо отметить, что механизм внешних отчетов не является
основным способом реализации прикладной функциональности "1С:Предприятия"
и используется весьма ограничено. Кроме того, в "1С:Предприятии 7.7"
предусмотрен специальный механизм разделения внешних отчетов на
общеиспользуемые, которые пользователь не может менять, а их обновлением
занимается только системный администратор, и персональные, которые может
создавать и обновлять пользователь. Администратор системы может ограничить
для большинства пользователей возможность применения персональных внешних
отчетов и, таким образом, не допустить случайного заражения внешних
отчетов, применяемых пользователями.
Зарегистрированным пользователям "1С:Предприятия", получающим формы
отчетности с сайта "1С", на дисках информационно-технологического
сопровождения или у официальных партнеров "1С", можно не опасаться наличия
в них вирусов, заражающих файлы внешних отчетов - наша система контроля
качества производства предусматривает антивирусную проверку. Аналогичные
меры безопасности должны принять наши официальные партнеры-франчайзи и
другие фирмы, разрабатывающие дополнительные внешние отчеты по заказам
пользователей.
В любом случае рекомендуем конечным пользователям и системным
администраторам "1С:Предприятия" обращать повышенное внимание на то, чтобы
источники получаемых программных файлов, конфигураций, внешних отчетов и
обработок данной системы программ являлись официальными и надежными.
для пользователей и партнеров 17.06.2005
О сообщении Лаборатории Касперского про обнаружение вируса для
"1С:Предприятия 7.7"
16 июня 2005 г. в Вирусной Энциклопедии "Лаборатории Касперского" было
опубликовано сообщение про обнаружение "вируса" для "1С:Предприятия 7.7"
(http://www.viruslist.com/ru/viruses/encyclopedia?virusid=85129, копия - в
Приложении к данному письму).
Фирма "1С" выражает Лаборатории Касперского благодарность за проявленную
бдительность и обращает внимание своих пользователей и партнеров на
следующие моменты.
Наличие среды разработки и, соответственно, предметно-ориентированного
встроенного языка является одним из ключевых преимуществ технологической
платформы "1С:Предприятие". Конечно, то, что возможности нашей системы и
ее широкую распространенность пытаются использовать в деструктивных целях,
для нас очень неприятно - мы не видим здесь поводов для саморекламы и
пиара.
Мы будем изучать ситуацию и проводить консультации с разработчиками
антивирусных программ. Однако, в данном случае, можно с достаточной
степенью уверенности утверждать, что опасность эпидемического
распространения подобных вирусов не очень высока. В отличие от документов
или электронных таблиц офисных программ, файлы внешних отчетов
"1С:Предприятия" (файлы с расширением .ERT, в которых хранятся шаблоны
внешних отчетов) не являются предметом обмена между пользователями, они
крайне редко пересылаются по электронной почте или копируются на мобильные
носители.
В подтверждение можно напомнить, что на самом деле это не первое
"открытие" Лабораторией Касперского вирусов для "1С:Предприятия" -
18.09.2001 г. сообщалось о появлении семейства вирусов "Bonny"
(http://www.kaspersky.ru/news?id=252 также способных заражать файлы
внешних отчетов. При этом указывалось, что вирус "Bonny" мог уничтожать
содержащуюся в этих отчетах информацию - в отличие от вируса "Tanga",
который был даже не выявлен в реальном распространении, а получен в
результате взаимодействия разработчиков вирусов и антивирусных программ.
Тем не менее до настоящего момента в службу технической поддержки "1C"
обращений пользователей, реально пострадавших от вируса "Bonny", не
поступало.
Также необходимо отметить, что механизм внешних отчетов не является
основным способом реализации прикладной функциональности "1С:Предприятия"
и используется весьма ограничено. Кроме того, в "1С:Предприятии 7.7"
предусмотрен специальный механизм разделения внешних отчетов на
общеиспользуемые, которые пользователь не может менять, а их обновлением
занимается только системный администратор, и персональные, которые может
создавать и обновлять пользователь. Администратор системы может ограничить
для большинства пользователей возможность применения персональных внешних
отчетов и, таким образом, не допустить случайного заражения внешних
отчетов, применяемых пользователями.
Зарегистрированным пользователям "1С:Предприятия", получающим формы
отчетности с сайта "1С", на дисках информационно-технологического
сопровождения или у официальных партнеров "1С", можно не опасаться наличия
в них вирусов, заражающих файлы внешних отчетов - наша система контроля
качества производства предусматривает антивирусную проверку. Аналогичные
меры безопасности должны принять наши официальные партнеры-франчайзи и
другие фирмы, разрабатывающие дополнительные внешние отчеты по заказам
пользователей.
В любом случае рекомендуем конечным пользователям и системным
администраторам "1С:Предприятия" обращать повышенное внимание на то, чтобы
источники получаемых программных файлов, конфигураций, внешних отчетов и
обработок данной системы программ являлись официальными и надежными.
Оставить комментарий
TeSSa_1986
Virus.1C.Tanga.aДетектирование добавлено 15 июн 2005
Описание опубликовано 16 июн 2005
Поведение Virus, компьютерный вирус
Технические детали
Вирус распространяющийся в системе 1С:Предприятие 7.7 (см. «Фирма 1C»). Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).
Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.
Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты что и используется вирусами данного типа для своего распространения.
В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.b) данный вирус является полноценным инфектором, способным записывать свой код в файлы *.ert.
Вирус содержит в себе текстовые комментарии автора:
// This is example virus
// Not destruction function
//
// Name: Tango.ERT.2622
//
// by sniper
// Togliatti, June 2005
//
// information for contact:
// not information
Для работы вирус использует специальную библиотеку — Compound.dll. В случае если данный файл отсутствует в системе, вирус выполняться не будет.
При запуске (открытии зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске и ищет файлы с расширением ert.
В найденных файлах проверяется наличие строки:
Tango.ERT.2622
Если она найдена, значит файл уже был заражен ранее и повторного заражения не происходит. В противном случае вирус создает в файле модуль с именем «MD Programm text», в который записывает свой код.
Вирус не содержит никаких деструктивных функций.