SHA1:
- 87e690b5aa60dbb549d8d7e118dc06e4d4314732
Троянец-дроппер, написанный на встроенном языке программирования «1С:Предприятие». Предназначен для запуска на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.567, который хранится в его ресурсах в качестве полезной нагрузки.
Распространяется в виде вложения в сообщения электронной почты с темой:
Subject: У нас сменился БИК банка
и следующим текстом:
Здравствуйте! У нас сменился БИК банка. Просим обновить свой классификатор банков. Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8. Файл - Открыть обработку обновления классификаторов из вложения. Нажать ДА. Классификатор обновится в атоматическом режиме. При включенном интернете за 1-2 минуты.
Вложенный файл имеет следующие имя и расширение: ПроверкаАктуальностиКлассификатораБанков.epf и представляет собой файл внешней обработки для программ семейства 1С:Предприятие. Тело модуля защищено паролем, сама форма имеет следующий вид:
При открытии файла внешней обработки в приложении «1С:Предприятие» отображается следующее диалоговое окно:
При нажатии пользователем любой кнопки троянец запускается на выполнение. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения определяется следующим кодом:
Текст = Письмо.Тексты.Добавить("Здравствуйте, у нас сменился БИК банка.
|Просим обновить свой классификатор банков.
|Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
|Файл - Открыть обработку обновления классификаторов.
|Нажать ДА. Классификатор обновится в атоматическом режиме.
|При включенном интернете за 1-2 минуты.");
Письмо.Вложения.Добавить(ИмяФайла, "ОбновитьБИКБанка.epf");Вместо адреса отправителя троянец использует адрес, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию.
Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.
1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:
- "Управление торговлей, редакция 11.1"
- "Управление торговлей (базовая), редакция 11.1"
- "Управление торговлей, редакция 11.2"
- "Управление торговлей (базовая), редакция 11.2"
- "Бухгалтерия предприятия, редакция 3.0"
- "Бухгалтерия предприятия (базовая), редакция 3.0"
- "1С:Комплексная автоматизация 2.0"
По окончании рассылки троянец извлекает из собственных ресурсов и запускает на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.567.
