Вирус для «1C:Предприятия» демонстрирует, что популярные бизнес-приложения со встроенным языком потенциально могут быть использованы для нападения на информационные системы

Авторы вирусов пытаются использовать все новые и новые пути распространения своей продукции. Кажется, что, как только какое-нибудь приложение становится популярным, тут же для него появляется вирус. Так было с макровирусами для Microsoft Office, так было с электронной почтой Outlook, так было и с браузером Internet Explorer. Однако для распространения вируса в «живом виде» мало только популярности программного продукта, нужно, чтобы им активно пользовались при обмене информацией. Именно этому требованию не удовлетворяет вирус, присланный недавно в «Лабораторию Касперского».

Вирус, о котором пойдет речь, называется Tanga. Он написан для популярной системы «1С:Предприятие 7.7» в виде модуля, встроенного во внешний отчет системы, и запускается при загрузке его в приложение.

Tanga после запуска ищет все файлы с расширением ERT (шаблоны отчетов) и копирует себя в найденные отчеты, сохраняя при этом находящуюся в них информацию. Если же один из зараженных шаблонов будет перемещен в другую систему, то и она также будет заражена.

В первом варианте вируса Tanga нет деструктивных функций, а сам вирус не был обнаружен в «живом виде», его прислал в «Лабораторию Касперского» сам автор вместе с подробным описанием на русском языке.

Почему же вирусы для «1С:Предприятия» не распространяются? Видимо, причина кроется в том, что файлы отчетов не требуется передавать из одного предприятия в другое, в отличие от документов Word и Excel

Впрочем, это не первый вирус для среды исполнения «1С:Предприятие 7.7». В сентябре 2001 года были обнаружены два варианта вируса семейства Bonny, которые распространялись в виде автомодуля «ПриОткрытии()». Он-то и запускался при загрузке этого модуля в приложение. При этом вариант Bonny.a заменял собой файл отчета и приводил к его потере, а Bonny.b копировал отчет в другой файл, а себя помещал на его место. Однако Алексей Харитонов, руководитель отдела продвижения экономических программ компании «1C», отмечает: «До настоящего момента в службу технической поддержки «1C» обращений пользователей, реально пострадавших от вируса Bonny, не поступало».

Почему же вирусы для «1С:Предприятия» не распространяются? Видимо, причина кроется в том, что файлы отчетов не требуется передавать из одного предприятия в другое, в отличие от документов Word и Excel. Таким образом, популярности программного продукта и функциональной среды разработки еще недостаточно для реализации вирусов — нужно придумать эффективный и психологически оправданный метод размножения вируса. Это относится и к Tanga. Вот как комментирует ситуацию Харитонов: «Механизм внешних отчетов не является основным способом реализации прикладной функциональности ?1С:Предприятия? и используется весьма ограниченно. В ?1С:Предприятии 7.7? предусмотрен специальный механизм разделения внешних отчетов на общедоступные, которые пользователь не может менять, а их обновлением занимается только системный администратор, и персональные, которые может создавать и обновлять пользователь. Администратор системы может ограничить для большинства пользователей возможность применения персональных внешних отчетов и таким образом не допустить случайного заражения внешних отчетов, применяемых пользователями».

Однако то, что для приложения сложно написать вирус, который будет широко распространяться, еще не означает, что не стоит заботиться о защите от таких нападений. Дело в том, что саморазмножающиеся вредоносные коды теряют привлекательность для профессиональных хакеров. Сейчас более популярными типами нападений для них являются троянские программы, которые нападающий рассылает целенаправленно и, возможно, знает, как заставить человека запустить соответствующий вредоносный код, скрытый за безобидным фасадом.

Так, Кевин Митник, в прошлом знаменитый хакер, а теперь авторитетный специалист по социальной инженерии, выступая в феврале в Москве на организованной IDC и издательством «Открытые системы» конференции «Информационная безопасность предприятия: как противостоять новым угрозам», привел такой пример: «Что вы будете делать, когда, войдя утром в офисный лифт, увидите компакт-диск с надписью красным маркером от руки ?Финансовый отчет за первый квартал?? Вас, конечно же, будет разбирать любопытство и вы, скорее всего, возьмете этот диск. Однако, загрузив его на своем рабочем месте, вы испытаете разочарование — система скажет, что не смогла открыть расположенный на диске файл. А в это время ваш компьютер уже будет посылать кому-то вашу конфиденциальную информацию».

Для реализации такого типа нападения вполне подойдут и популярные бизнес-приложения со встроенным языком, так что компании не должны забывать о безопасности и правильном распределении полномочий при использовании приложений такого рода.


Хронология событий

В программную систему «1С:Предприятие» интегрирован мощный предметно-ориентированный язык программирования, который, как оказалось, можно использовать и для написания потенциально вредоносного кода.

Поделитесь материалом с коллегами и друзьями