Virus.1C.Tanga.a
Детектирование добавлено 15 июн 2005
Описание опубликовано 16 июн 2005
Поведение Virus, компьютерный вирус
Технические детали
Вирус распространяющийся в системе 1С:Предприятие 7.7 (см. «Фирма 1C»). Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).
Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.
Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.
В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.
данный вирус является полноценным инфектором, способным записывать свой код в файлы *.ert.
Вирус содержит в себе текстовые комментарии автора:
// This is example virus
// Not destruction function
//
// Name: Tango.ERT.2622
//
// by sniper
// Togliatti, June 2005
//
// information for contact:
// not information
Для работы вирус использует специальную библиотеку — Compound.dll. В случае если данный файл отсутствует в системе, вирус выполняться не будет.
При запуске (открытии зараженного ert-файла), вирус проверяет наличие в системе файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске и ищет файлы с расширением ert.
В найденных файлах проверяется наличие строки:
Tango.ERT.2622
Если она найдена, значит файл уже был заражен ранее и повторного заражения не происходит. В противном случае вирус создает в файле модуль с именем «MD Programm text», в который записывает свой код.
Вирус не содержит никаких деструктивных функций.
Источник: http://www.viruslist.com/ru/viruses/encycl...a?virusid=85129
Всех работающих с 1С поздравляю... Дошла и до нас зараза...
Детектирование добавлено 15 июн 2005
Описание опубликовано 16 июн 2005
Поведение Virus, компьютерный вирус
Технические детали
Вирус распространяющийся в системе 1С:Предприятие 7.7 (см. «Фирма 1C»). Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).
Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.
Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.
В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.a и Virus.1C.Bonny.
данный вирус является полноценным инфектором, способным записывать свой код в файлы *.ert.Вирус содержит в себе текстовые комментарии автора:
// This is example virus
// Not destruction function
//
// Name: Tango.ERT.2622
//
// by sniper
// Togliatti, June 2005
//
// information for contact:
// not information
Для работы вирус использует специальную библиотеку — Compound.dll. В случае если данный файл отсутствует в системе, вирус выполняться не будет.
При запуске (открытии зараженного ert-файла), вирус проверяет наличие в системе файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске и ищет файлы с расширением ert.
В найденных файлах проверяется наличие строки:
Tango.ERT.2622
Если она найдена, значит файл уже был заражен ранее и повторного заражения не происходит. В противном случае вирус создает в файле модуль с именем «MD Programm text», в который записывает свой код.
Вирус не содержит никаких деструктивных функций.
Источник: http://www.viruslist.com/ru/viruses/encycl...a?virusid=85129
Всех работающих с 1С поздравляю... Дошла и до нас зараза...
