Bezpieczeństwo

Nowe zagrożenie: aplikacje tworzone w Delphi atakowane przez wirusa Virus.Win32.Induc.a

Marcin Sieradzki | Redaktor serwisu benchmark.pl
Autor: Marcin Sieradzki
5 komentarzy Dyskutuj z nami

Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o wykryciu szkodnika o nazwie Virus.Win32.Induc.a. Wirus ten rozprzestrzenia się poprzez CodeGear Delphi, środowisko programistyczne umożliwiające tworzenie bazodanowych aplikacji dla komputerów stacjonarnych i firm oraz aplikacji sieciowych. Wszystkie produkty firmy Kaspersky Lab zapewniają ochronę przed tym najnowszym zagrożeniem.

Virus.Win32.Induc.a. infekuje środowisko programistyczne Delphi. Wszystkie aplikacje, które zostały stworzone przy pomocy zarażonego środowiska, zostaną zainfekowane i będą nieustannie powielać wirusa. Wirus nie stanowi obecnie zagrożenia - poza zarażaniem nie posiada żadnej szkodliwej funkcji. Został prawdopodobnie stworzony w celu zademonstrowania i przetestowania nowej procedury infekcji. Bardzo możliwe, że w przyszłości pomysł zostanie podchwycony przez cyberprzestępców, którzy zmodyfikują go w taki sposób, aby był bardziej destrukcyjny.    

“Widzę duże możliwości ewolucji Virus.Win32.Induc.a. Trudno jednak powiedzieć, czy któryś z “poważnych” twórców szkodliwego oprogramowania pójdzie tą drogą. W końcu istnieją o wiele prostsze” – powiedział David Emm, starszy analityk regionalny z Kaspersky Lab UK.

Virus.Win32.Induc.a wykorzystuje dwustopniowy mechanizm stosowany w środowisku  Delphi w celu tworzenia plików wykonywalnych. Najpierw kod źródłowy jest kompilowany, aby powstały pośrednie pliki .dcu, które są następnie łączone w celu stworzenia plików wykonywalnych systemu Windows. Nowy wirus aktywuje się w momencie uruchomienia zainfekowanej aplikacji. Następnie sprawdza, czy na komputerze są zainstalowane wersje 4.0, 5.0, 6.0 lub 7.0 środowiska programistycznego Delphi. Jeżeli takie oprogramowanie zostanie wykryte,  Virus.Win32.Induc.a skompiluje plik źródłowy Delphi Sysconst.pas, tworząc zmodyfikowaną wersję skompilowanego pliku Sysconst.dcu.      

Praktycznie wszystkie projekty w Delphi zawierają wiersz “use SysConst”, co oznacza, że zainfekowanie jednego modułu systemu spowoduje infekcję wszystkich tworzonych aplikacji. Innymi słowy, zmodyfikowany plik SysConst.dcu powoduje, że wszystkie kolejne programy stworzone w zainfekowanym środowisku zawierają kod nowego wirusa.  

Rozwiązania firmy Kaspersky Lab skutecznie wykrywają wirusa Virus.Win32.Induc.a oraz leczą skompilowane pliki Delphi i pliki wykonywalne systemu Windows.

Źródło: Kaspersky

Komentarze

5
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    zvid1
    Cytat... "Wirus ten rozprzestrzenia się poprzez CodeGear Delphi, środowisko programistyczne umożliwiające tworzenie bazodanowych aplikacji dla komputerów stacjonarnych i firm oraz aplikacji sieciowych."... Ciach :)

    Niech ktoś mi to wytłumaczy:
    1. Środowisko tylko na komputery stacjonarne?? (na laptopach nie ruszy;?)
    2. środowisko dla... firm... buchachacha.. tworzymy nim firmy ??? ;)
    Polska język, trudna język.. ;) Można sobie skomplikować dzień z rana ;)
  • avatar
    adivxv5
    Może teraz nie w temacie. Używałem Kasperskiego (internet security) 2 lata, w którym nieustanie coś przedostawało się do systemu wszelkiego robactwa. Od pół roku posiadam Norton IS 2009 i mam wszelkiego gówna nie porównywalnie mniej, od wymienionego programu. Wniosek jest jak dla mnie taki, że przereklamowany ten Kasperski.
  • avatar
    Konto usunięte
    Autor się nie popisał.

    Po pierwsze, wirus jest stary jak świat, żadna nowość.
    Po drugie,właśnie z powodu swojej starości atakuje tylko Delphi od D4 do D7. Wtedy jeszcze nie było CodeGear...

    A Kaspersky Lab też się obudziło... po tylu latach.

    Przed wirusem można się bardzo łatwo obronić, umieszczjąc SysConst.bak w katalogi z SysConst.pas. Jeśli SysConst.bak istnieje to wirus już nie infekuje.

    Poza infekowaniem wirus nie robi nic innego, jest niedestrukcyjny.

    Jako ciekawostka: Słyszałem że Comarch przeprasza listownie klientów za wypuszczenie aplikacji z tym wirusem, jednocześnie twierdząc że oni z Delphi nie korzystają ;-)

    Podsumowując, z takimi newsami to proszę od razu do archiwum!