Вирусописатели изучают “1С:Предприятие”

“Лаборатория Касперского” (ЛК) сообщила о появлении вредоносного кода, поражающего систему программ “1С:Предприятие 7.7” и получившего название Virus.1C.Tanga.a. Утверждается, что данный вирус был создан в академических целях и не содержит деструктивной функциональности. Более того — автор программы сам направил его экспертам ЛК для изучения и снабдил развернутым описанием на русском языке.

Новинка заражает пользовательские файлы “1С:Предприятия 7.7”, содержащие шаблоны внешних отчетов и имеющие расширение ERT. Метод размещения кода Tanga в инфицированных файлах во многом аналогичен методам, используемым макровирусами, заражающими документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например при его открытии.

Для своего распространения Tanga в полной мере использует мощный язык модулей “1С:Предприятия”. Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и таким образом размножаться.

В процессе своей “жизнедеятельности” Tanga обращается к специальной библиотеке Compound.dll. Если таковая отсутствует в системе, вирус выполняться не будет. Механизм действия вируса достаточно прост: при запуске зараженного файла он проверяет наличие в системе Compound.dll, а затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением ERT.

В найденных файлах проверяется наличие строки Tango.ERT.2622. Если она есть, то считается, что файл уже был заражен ранее и повторной записи зловредного кода не происходит. В противном случае вирус создает в файле модуль с именем “1C Programm text”, в который записывает свой код.

Фирма “1С” отмечает, что опасность эпидемического распространения подобных вирусов не очень высока. В отличие от документов или электронных таблиц офисных программ файлы внешних отчетов “1С:Предприятия” не являются предметом обмена между пользователями, они крайне редко пересылаются по электронной почте или копируются на мобильные носители.

Tanga — не первый зловредный код, испытывающий на прочность систему программ “1С:Предприятие”. Так, в сентябре 2001 г. сообщалось о появлении семейства вирусов Bonny, способных заражать файлы внешних отчетов. Тем не менее до настоящего момента в службу технической поддержки “1C” обращений пользователей, реально пострадавших от вируса Bonny, не поступало.

Специалисты “1С” подчёркивают, что механизм внешних отчетов не является основным способом реализации прикладной функциональности “1С:Предприятия” и используется весьма ограниченно. Кроме того, в “1С:Предприятии 7.7” предусмотрен специальный механизм разделения шаблонов внешних отчетов на общеиспользуемые, обновлением которых занимается только системный администратор, и персональные, которые может создавать и обновлять пользователь. Администратор системы может ограничить для большинства сотрудников возможность применения персональных внешних отчетов и таким образом не допустить их случайного заражения.

Зарегистрированным пользователям “1С:Предприятия”, получающим формы отчетности с фирменного сайта “1С”, на дисках информационно-технологического сопровождения или у официальных партнеров, можно не опасаться наличия в них вирусов, заражающих файлы внешних отчетов, так как принятая в “1C” система контроля качества предусматривает антивирусную проверку. По идее аналогичные меры безопасности должны применять официальные партнеры-франчайзи и другие фирмы, разрабатывающие дополнительные внешние отчеты по заказам своих клиентов.

В. М.</b>

← май 2005 22 23 24 25 26 27 28 29 30 июль 2005 →