Важное объявление!
У Нас Все раздачи мультитрекерные, при нуле пиров в релизах, можете смело вставать на закачку!
 
Автор Сообщение

HUNTER

Стаж:
4 года 7 месяцев
Сообщений:
61449

Репутация: 101

[+] [-]
Вне форума [Профиль] [ЛС]


Исследователи антивирусной компании «Доктор Веб» рассказали об особенностях троянца 1C.Drop.1, который нацелен на компьютеры контрагентов с установленными бухгалтерскими приложениями 1С.
Одна из особенностей этой вредоносной программы состоит в том, что она полностью написана на русском языке, а точнее — на встроенном языке программирования 1С, который использует для записи команд кириллицу. 1C.Drop.1 распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка». К письму прикреплён файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами не представляется возможным. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно с предложением обновить классификатор банков.
Вне зависимости от того, какую кнопку нажмёт пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением двух танцующих котов.
В это же время начинается, собственно, и сам процесс заражения компьютера. Первым делом зловред ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. В качестве адреса отправителя троянец использует e-mail, указанный в учётной записи пользователя 1С, но если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения 1C.Drop.1  прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Попытка открытия такого файла в приложении 1С, приводит к запуску на компьютере жертвы шифровальщика. Эта копия 1C.Drop.1 рассылает по адресам контрагентов повреждённый EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.
После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567, который имеет несколько модификаций, шифрует хранящиеся на дисках заражённого компьютера файлы и требует выкуп за их расшифровку. В настоящее время не существует средств для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, в связи с чем «Доктор Веб» призывает пользователей проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие».

_________________
Показать сообщения:    

Текущее время: Сегодня 22:21

Часовой пояс: GMT



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Наши партнеры: интернет магазин Ивановского трикотажа textilla.ru