Когда дебет не сходится с кредитом: первый вирус на языке 1C
Что может быть уродливее языка программирования 1C? Наверное, ничего. Однако, язык активно развивается и ныне достиг такого уровня, что на нем возможно писать что угодно, даже вирусы.
Специалисты по компьютерной безопасности отловили вирус 1C.Drop.1, стали его изучать и пораскрывали рты от удивления: вирус полностью написан на языке 1С. Действует 1C.Drop.1 следующим образом:
Этап 1. Заражение. Бухгалтеру приходит письмо от контрагента. В письме сообщается о смене БИК (банковский идентификационный код) предприятия и предлагается обновить классификатор. К письму приложен файл с расширением epf. Контрагент реальный, расширение не exe, так почему бы нет?
Этап 2. Размножение. Запущенный epf, как читатель, наверное, уже догадался, никакой БИК не обновляет, а обходит список контрагентов в 1C: Предприятие и рассылает им такие же письма. Получатели увидят обратный адрес действующего партнера и их бдительность будет усыплена. Так происходит размножение вируса.
Этап 3. Профит. Закончив в рассылкой копий самого себя вирус надежно шифрует всю бухгалтерию. Расшифровщика нет. Офигевшему главбуху предлагается либо заплатить за разблокировку базы, либо пойти объяснить директору предприятия, что отныне считать придется на счетах, а отчеты в налоговую сдавать в устной форме.
Напоследок фрагмент вирусного кода на этом ярком и выразительном языке 1С:
Комментарии
jtad
23 июня, 2016 - 11:04
Все волшебство сводится к строке ЗапуститьПриложение, после чего на винде начинается беспредел
Чингачгук
23 июня, 2016 - 12:52
Пфф. Само тело вируса-то поди не на 1С написано, раз хранится в бинарном виде внутри epf?
jtad
23 июня, 2016 - 13:14
и я о том же. Однако написан на 1С, то что стартует другое приложение смысла не меняет — некоторые вирусы делают также. Особенно на скриптовых языках
Чингачгук
23 июня, 2016 - 15:55
Ну, если бы скажем шифрация делалась внутри 1С-овского кода, тогда да.
Пока что я считаю что на самом 1С написали не вирус, а только загрузчик.
Не знаю, для заголовка статьи на этом сайте нормально, но по факту — для меня это на уровне чего-то вроде "хакеры начали использовать 7-зип для заражения пользователей вирусами", подразумевая js-файлы внутри архивов, разосланных по почте
Кстати шифровщик можно написать и на простом виндосовском cmd, попадались пару раз зловредные bat-файлы. Тоже птичий язык, но работают же
jtad
23 июня, 2016 - 17:47
ну частично согласен. Однако вирус работает только в специфичной среде. Вы же не запустите его в ворде или как бинарник в винде. То что он делает это другое
Чингачгук
23 июня, 2016 - 21:13
"Вирус" только в среде?
в данной специфичной среде, конкретный вирус не опознается и не обрабатывается как текст кода. Следует обозначение — это не вирус, написанный на данном коде, это тупо загрузчик-запускальщик, обрабатывающий код вируса в другой среде
jtad
23 июня, 2016 - 21:23
шифрующий бинарник все равно бесполезен в 1C без этого врапера, потому как весь смысл вируса и есть в том чтобы запустить его из бухгалтерского софта. И потом насколько я вижу это не весь исходняк вируса. Если запускаемый exe-шник только шифрует определенный каталог или файл, а остальную работу доделывает 1С, то кто же из них вирус?
Чингачгук
23 июня, 2016 - 17:36
А если бы вирус на 1С был без exe-модуля шифрации, то это был бы не вирус на 1С? ;) Школота жжот! Пора вводить уроки логики, а то чем дальше, тем хуже.
Чингачгук
23 июня, 2016 - 21:10
эТО ВЫ ПРО ЧЁ? пОЯСНИТЕ, А ТО НЕПОНЯТНА
Чингачгук
24 июня, 2016 - 08:58
Такого не будет никогда. Не родилось ещё в этом мире такого быдлокодера, который сможет реализовать более-менее сложный алгоритм шифрования на языке 1C.
А вообще, в целом реализация вируса вполне себе неплохая, и в целом позаимствована из вирусов в макросах для документов офиса. К тому-же то что вирусы бывают в документах msoffice — все уже привыкли, а что вирусы могут быть в модуле для 1C — это бухгалтеру будет в новинку.
Чингачгук
10 июля, 2016 - 00:48
А что, 1С стартует сразу с повышением уровня или ОС старее, чем Win7? Или какой-то му..к выключил UAC?
Комментировать