Virus.1C.Tanga.a

Вирус распространяющийся в системе 1С:Предприятие 7.7. Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).

Вирус распространяющийся в системе 1С:Предприятие 7.7 (см. «Фирма 1C»). Данные вирусы заражают один из типов пользовательских файлов системы 1С:Предприятие 7.7 (файлы внешних отчетов, имеют расширение имени ERT).

Вирус представляет из себя макро-модуль, встроенный в файл-отчет 1C. Способ расположения этого вирусов в файлах-отчетах 1C и его функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.

Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.

В отличие от первых известных вирусов, работающих на платформе 1С (Virus.1C.Bonny.aи Virus.1C.Bonny.b) данный вирус является полноценным инфектором, способным записывать свой код в файлы *.ert.

Вирус содержит в себе текстовые комментарии автора:


//  This is example virus
//  Not destruction function
//
//  Name:      Tango.ERT.2622
//
//  by sniper
//  Togliatti, June 2005
//
//  information for contact:
//        not information

Для работы вирус использует специальную библиотеку — Compound.dll. В случае если данный файл отсутствует в системе, вирус выполняться не будет.

При запуске (открытии зараженного ert-файла), вирус проверяет наличие в системе файла Compound.dll. Вирус последовательно обходит все каталоги на текущем диске и ищет файлы с расширением ert.

В найденных файлах проверяется наличие строки:

Tango.ERT.2622

Если она найдена, значит файл уже был заражен ранее и повторного заражения не происходит. В противном случае вирус создает в файле модуль с именем «MD Programm text», в который записывает свой код.

Вирус не содержит никаких деструктивных функций.