Новости
23.06.2016
Пользователям 1С угрожает опасный троянец

Исследователи антивирусной компании «Доктор Веб» рассказали об особенностях троянца 1C.Drop.1, который нацелен на компьютеры контрагентов с установленными бухгалтерскими приложениями 1С.

Одна из особенностей этой вредоносной программы состоит в том, что она полностью написана на русском языке, а точнее — на встроенном языке программирования 1С, который использует для записи команд кириллицу. 1C.Drop.1 распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка». К письму прикреплён файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами не представляется возможным. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно с предложением обновить классификатор банков.

Вне зависимости от того, какую кнопку нажмёт пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением двух танцующих котов.

В это же время начинается, собственно, и сам процесс заражения компьютера. Первым делом зловред ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. В качестве адреса отправителя троянец использует e-mail, указанный в учётной записи пользователя 1С, но если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения 1C.Drop.1  прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Попытка открытия такого файла в приложении 1С, приводит к запуску на компьютере жертвы шифровальщика. Эта копия 1C.Drop.1 рассылает по адресам контрагентов повреждённый EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.

После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567, который имеет несколько модификаций, шифрует хранящиеся на дисках заражённого компьютера файлы и требует выкуп за их расшифровку. В настоящее время не существует средств для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, в связи с чем «Доктор Веб» призывает пользователей проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие».

Корзина
В корзине нет товаров
Новости
28.08.2019
Специалисты вирусной лаборатории «Доктор Веб» обнаружили, что хакеры используют копии сайтов популярных сервисов для распространения опасного банковского троянца Win32.Bolik.2
28.08.2019
Компания «Доктор Веб» представляет новую лицензию для подписчиков услуги «Антивирус Dr.Web»
07.02.2019
Стали известны цены на платную поддержку Windows 7
06.02.2019
Обновление агентской части Dr.Web Enterprise Security Suite 11.0
05.02.2019
«Лаборатория Касперского»: Больше половины пользователей в России переживают за безопасность своих аккаунтов
05.02.2019
Обновление компонентов в продуктах Dr.Web 12.0 для Windows
01.02.2019
Поисковик Google начал исключать запрещённые в России сайты из выдачи
22.01.2019
Аналитики «Доктор Веб» обнаружили троянца в программе для отслеживания курса криптовалют
20.12.2018
Академическая подписка CorelDRAW на год - новое рентабельное решение для школ и ВУЗов
20.12.2018
Скидки на CorelDRAW для типографий и рекламных агентств

Отправить
Наш опрос
В каком состоянии ваша компьютерная сеть?