В «Лабораторию Касперского» прислали опытный вирус для программ 1С
«Лаборатория Касперского» распространила пресс-релиз о первом вирусе, поражающем программы системы автоматизации «1С:Предприятие». В пресс-релизе сказано: «Найден первый полноценный вирус…», однако, как следует из текста релиза, автор вируса (некто Sniper из города Тольятти, это следует из пояснительных строк в коде вируса) сам прислал его на изучение в «Лабораторию Касперского» вместе с подробными пояснениями, что к чему. Кроме того, вирус лишён каких-либо деструктивных функций.
Tanga распространяется в системе «1С:Предприятие 7.7» посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение .ert. Метод размещения Tanga в инфицированных файлах во многом соответствует макровирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, при его открытии.
Для своего распространения Tanga использует язык модулей 1С. Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и, таким образом, размножаться. Как сообщается в «Вирусной энциклопедии Касперского», в отличие от первых известных вирусов для платформы 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.b) данный вирус является полноценным инфектором, способным записывать свой код в файлы .ert.
Для работы вирус использует специальную библиотеку Compound.dll. В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия Tanga достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла Compound.dll, затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением .ert. В найденных файлах проверяется наличие строки: Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае, вирус создает в файле модуль с именем «1C Programm text», в который записывает свой код.
