Показано с 1 по 3 из 3.

Tanga: первый вирус, поражающий "1С"

  1. #1
    External Specialist Репутация Репутация Аватар для sergey_gum
    Регистрация
    13.05.2005
    Адрес
    Россия, Московская область
    Сообщений
    482
    Вес репутации
    50

    Tanga: первый вирус, поражающий "1С"

    «Лаборатория Касперского», российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает о регистрации первой вредоносной программы, поражающей систему «1С:Предприятие».

    Данный вирус, получивший название Virus.1C.Tanga.a, был создан в исследовательских целях. Создатель программы сам направил ее экспертам «Лаборатории Касперского» для изучения. Автор Tanga минимизировал время анализа кода и ущерб от его возможного распространения — лишил вирус каких-либо деструктивных функций и снабдил развернутым описанием на русском языке.


    Tanga распространяется в системе «1С:Предприятие7.7» посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение .ERT. Одним из встроенных в такой файл-отчет макромодулей и является вредоносная программа. Метод размещения Tanga в инфицированных файлах во многом соответствует макро-вирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, при его открытии.


    Для своего распространения Tanga использует язык модулей «1С». Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и таким образом размножаться. Данный вредоносный код является первой полноценной программой-инфектором, созданной для платформы «1С:Предприятие7.7» и записывающей свой код в служебные файлы системы формата .ERT.


    Для работы вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия Tanga достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll, затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ERT. В найденных файлах проверяется наличие строки Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае вирус создает в файле модуль с именем «1C Programm text», в который записывает свой код.

    Источник: viruslist.com

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Это всё хорошо, но только никому не поможет. Поведенческого анализатора нет ни у одного антивируса, а без него знание механизмов распространения никакой ползы не принесёт.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Geser
    Это всё хорошо, но только никому не поможет. Поведенческого анализатора нет ни у одного антивируса, а без него знание механизмов распространения никакой ползы не принесёт.
    Академический экземпляр, кстати и не первый на самом деле, несколько лет назад я где-то подобный "шедевр" уже видел.

    Нашёл - http://forum.sigma.kz/ultimatebb.php...c&f=5&t=000001 - обратите внимание на дату публикации и источник . Вот этот действительно первый.

    PS: Compaund не содержится в поставке 1С, это внешний модуль ... Так что жизнеспособность этого "шедевра" = 0.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 26.04.2012, 15:16
  2. Ответов: 2
    Последнее сообщение: 25.06.2011, 15:40
  3. Ответов: 9
    Последнее сообщение: 31.08.2010, 23:42
  4. Ответов: 0
    Последнее сообщение: 26.04.2009, 23:38

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00054 seconds with 16 queries