1C.Drop.1 – это первый попавший в вирусную лабораторию «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном языке программирования «1С», который использует для записи команд кириллицу. Вредоносные файлы для «1С», которые могли модифицировать или заражать другие файлы внешней обработки, известны вирусным аналитикам компании еще с 2005 г., однако полноценный троянец-дроппер, скрывающий в себе опасного шифровальщика, встретился им впервые.
Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и соответствующим текстом. К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно. При нажатии в нем любой кнопки 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков.
В это же самое время троянец начинает свою вредоносную деятельность. В первую очередь он ищет в базе «1С» контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует адрес, указанный в учетной записи пользователя «1С», а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть.
После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. Пока у компании «Доктор Веб» нет инструментов для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.