Разделы

Безопасность Цифровизация Бизнес-приложения
|

Tanga: первый вирус, поражающий "1С"

«Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о регистрации первой вредоносной программы, поражающей систему «1С:Предприятие».

Данный вирус, получивший название Virus.1C.Tanga.a, был создан в исследовательских целях. Создатель программы сам направил ее экспертам «Лаборатории Касперского» для изучения. Автор Tanga минимизировал время анализа кода и ущерб от его возможного распространения — лишил вирус каких-либо деструктивных функций и снабдил развернутым описанием на русском языке.

Tanga распространяется в системе «1С:Предприятие7.7» посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение .ERT. Одним из встроенных в такой файл-отчет макромодулей и является вредоносная программа. Метод размещения Tanga в инфицированных файлах во многом соответствует макро-вирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, при его открытии.

Как ИИ помог «Авито» стать крупнейшим и безопасным классифайдом в мире
искусственный интеллект

Для своего распространения Tanga использует язык модулей «1С». Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и таким образом размножаться. Данный вредоносный код является первой полноценной программой-инфектором, созданной для платформы «1С:Предприятие7.7» и записывающей свой код в служебные файлы системы формата .ERT.

Для работы вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия Tanga достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll, затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ERT. В найденных файлах проверяется наличие строки Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае вирус создает в файле модуль с именем «1C Programm text», в который записывает свой код.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

СУБД для высоких нагрузок: почему крупнейшие компании страны выбирают Postgres Pro Enterprise

Intel в большой беде. Microsoft без предупреждения отказалась от ее процессоров, крупнейшие производители ноутбуков массово переходят на ARM

Максим Семёнкин, CodeInside: Рынок от аутсорсинга не отказывается, но активно сокращает его

Рекордсмена по участию в госконтрактах отстранили от крупного тендера. Перед этим он завалил поставку Казначейству 13 тыс. ПК

Крупный ритейл переходит на российские платформы электронной коммерции

Россиянин по щелчку пальцев взломал российскую КИИ, лишил десятки тысяч людей электричества и изящно избежал тюрьмы

MARKET.CNEWS

DRaaS

Подобрать тариф по аварийному восстановлению ИТ-инфраструктуры

От 1 руб./месяц

CRM

Подобрать CRM-систему для компании

От 1 000 руб./месяц

IP-телефония

Подобрать тариф на IP-телефонию и виртуальную АТС

От 0.50 руб./месяц

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

Техника

Электронные отпугиватели грызунов для дачи и огорода: хиты продаж

Обзор планшета HUAWEI MatePad Pro 13.2: новое прочтение концепции мобильных устройств

Обзор смартфона Honor X9b: новый эталон для среднего сегмента

Показать еще

Наука

Переворот в физике: найдены доказательства существования гравитона

Астрофизики запечатлели окончание формирования планеты из диска газа и пыли

Как принимали ванны фараоны: российские археологи нашли уникальный СПА-комплекс
Показать еще
True Tech Day 2024 True Tech Day 2024