Ноябрина все записи автора Первые известные вирусы, распространяющиеся в системе "1С:Предприятие7.7" (см. "Фирма 1C", http://www.1c.ru). Данные вирусы заражают один из типов пользовательских файлов системы "1С:Предприятие 7.7" (файлы внешних отчетов, имеют расширение имени ".ERT").

Вирусы представляют из себя макро-модули, встроенные в файл-отчет 1C. Способ расположения этих вирусов в файлах-отчетах 1C и их функционирование во многом напоминает макро-вирусы, заражающие документы и таблицы MS Office. Модули располагаются в специальном блоке данных в файле-отчете, они активизируются при открытии файла. Так же, как и макросы MS Office, они могут иметь авто-имена, срабатывающие при различных действиях с файлом-отчетом, например, открытие файла.

Язык модулей 1C является достаточно мощным и позволяет обращаться к другим дисковым файлам (включая другие файлы-отчеты), что и используется вирусами данного типа для своего распространения.

Данные вирусы никак не проявляют своего присутствия в системе и не содержат никаких специальных деструктивных функций (за исключением того, что первый вирус при заражении уничтожает содержимое файла-жертвы).

Вероятность широкого распространения вирусов этого типа крайне мала, поскольку отчеты 1С:Предприятия не являются файлами, которые часто копируются с одного компьютера на другой или пересылаются по электронной почте.

Вирусы содержат строки-"копирайты":

Trivial.1Cv77 by BKNY0NNX
Companion.1Cv77 by BKNY0NNX
(имя вирусов "Bonny" было взято по буквам из этой текстовой строки "BKNY0NNX")

1C-Module.Bonny.a
"Overwriting"-вирус, записывает себя вместо заражаемых файлов. При заражении полностью уничтожает содержимое файла-жертвы.

Состоит их одного авто-модуля "ПриОткрытии()" и, соответственно, активизируется при открытии зараженного модуля. Состоит всего из 15 команд, которые ищут в текущем каталоге .ERT-файлы (внешние отчеты 1С), и записывается в них.

После заражения всех доступных файлов в каталоге вирус завершает работу системы (выполняет команду закрытия приложения 1C:Предприятие).

1C-Module.Bonny.b
Вирус-компаньон. Также состоит из одного авто-модуля "ПриОткрытии()". При активизации ищет в текущем каталоге .ERT-файлы, переименовывает найденные файлы в .ERT.ERT (добавляет к имени файла еще одно расширение .ERT, например, AUDIT.ERT -> AUDIT.ERT.ERT) и копирует себя вместо оригинального файла.

После заражения всех файлов в каталоге вирус открывает файл-жертву (.ERT.ERT-файл).

Вирус содержит ошибку и не определяет уже зараженные файлы, что может привести к многократному переименованию файла, например, "BALANS.ERT.ERT.ERT ... .ERT".