Первый полноценный вирус, поражающий системы 1С

[nons]

Virus.1C.Tanga.a

Технические детали
Вирус распространяющийся в системе 1С:Предприятие 7.7.
Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).

Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.

Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.

В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.b) данный вирус является полноценным инфектором, способным записывать свой код в файлы *.ert.

Вирус содержит в себе текстовые комментарии автора:

// This is example virus
// Not destruction function
//
// Name: Tango.ERT.2622
//
// by sniper
// Togliatti, June 2005
//
// information for contact:
// not information

Для работы вирус использует специальную библиотеку — Compound.dll. В случае если данный файл отсутствует в системе, вирус выполняться не будет.

При запуске (открытии зараженного ert-файла), вирус проверяет наличие в системе файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске и ищет файлы с расширением ert.

В найденных файлах проверяется наличие строки:

Tango.ERT.2622

Если она найдена, значит файл уже был заражен ранее и повторного заражения не происходит. В противном случае вирус создает в файле модуль с именем «MD Programm text», в который записывает свой код.

Вирус не содержит никаких деструктивных функций.

[Vasek]

Эт все понятно, кстати спасиб за подробное описание. Напиши лучше как с ним бороться, как на него реагируют антивири, в частности NOD32?

[wertyman]

Учитывая, что ему более 2ух лет, думаю про него уже и Нод забыл

[qwas]

Вирус не содержит никаких деструктивных функций.

Какой тогда смысл этого вируса?

[Zмий]

Поймал я недавно такой вот "несодержащий деструктивных функций"... или как выразились на официальном Каспера и Веба "безобидный" Jeefo (или Hidrag... инфы не осталось, искать в лом). Но накуролесить он успел порядком, прописался сотни в четыре файлов ехе.

При установке Выни забыл выдернуть сетевик, и пока ставил дрова, проги и прочую красоту - привет, свежий Веб ругается.

Первым вирь срубил Лайт Аллой (т.е. проги теряют функциональность), а потом в каждый встречный экзешник вписывал свое тело. Добрый Веб решил с вирусякой дружить, после проверки, уничтожения, перезагрузки - привет, всё по-новой.
Пришлось лезть в нет, ставить последнего злого Каспера, сканить систему полностью.

В общем, и впрямь "безобидная" штучка, главное про защиту не забывать.;)

[ApocalypSiS]

.......В общем, и впрямь "безобидная" штучка, главное про защиту не забывать.;)

Оффтопик

Твоя правда! Стали бы тогда безобидную прогу вирусом называть!?....