Nowe zagrożenie: aplikacje tworzone w Delphi atakowane przez wirusa Virus.Win32.Induc.a
Kaspersky Lab, producent rozwiązań do ochrony danych, informuje o wykryciu szkodnika o nazwie Virus.Win32.Induc.a. Wirus ten rozprzestrzenia się poprzez CodeGear Delphi, środowisko programistyczne umożliwiające tworzenie bazodanowych aplikacji dla komputerów stacjonarnych i firm oraz aplikacji sieciowych. Wszystkie produkty firmy Kaspersky Lab zapewniają ochronę przed tym najnowszym zagrożeniem.
Virus.Win32.Induc.a. infekuje środowisko programistyczne Delphi. Wszystkie aplikacje, które zostały stworzone przy pomocy zarażonego środowiska, zostaną zainfekowane i będą nieustannie powielać wirusa. Wirus nie stanowi obecnie zagrożenia - poza zarażaniem nie posiada żadnej szkodliwej funkcji. Został prawdopodobnie stworzony w celu zademonstrowania i przetestowania nowej procedury infekcji. Bardzo możliwe, że w przyszłości pomysł zostanie podchwycony przez cyberprzestępców, którzy zmodyfikują go w taki sposób, aby był bardziej destrukcyjny.
“Widzę duże możliwości ewolucji Virus.Win32.Induc.a. Trudno jednak powiedzieć, czy któryś z “poważnych” twórców szkodliwego oprogramowania pójdzie tą drogą. W końcu istnieją o wiele prostsze” – powiedział David Emm, starszy analityk regionalny z Kaspersky Lab UK.
Virus.Win32.Induc.a wykorzystuje dwustopniowy mechanizm stosowany w środowisku Delphi w celu tworzenia plików wykonywalnych. Najpierw kod źródłowy jest kompilowany, aby powstały pośrednie pliki .dcu, które są następnie łączone w celu stworzenia plików wykonywalnych systemu Windows. Nowy wirus aktywuje się w momencie uruchomienia zainfekowanej aplikacji. Następnie sprawdza, czy na komputerze są zainstalowane wersje 4.0, 5.0, 6.0 lub 7.0 środowiska programistycznego Delphi. Jeżeli takie oprogramowanie zostanie wykryte, Virus.Win32.Induc.a skompiluje plik źródłowy Delphi Sysconst.pas, tworząc zmodyfikowaną wersję skompilowanego pliku Sysconst.dcu.
Praktycznie wszystkie projekty w Delphi zawierają wiersz “use SysConst”, co oznacza, że zainfekowanie jednego modułu systemu spowoduje infekcję wszystkich tworzonych aplikacji. Innymi słowy, zmodyfikowany plik SysConst.dcu powoduje, że wszystkie kolejne programy stworzone w zainfekowanym środowisku zawierają kod nowego wirusa.
Rozwiązania firmy Kaspersky Lab skutecznie wykrywają wirusa Virus.Win32.Induc.a oraz leczą skompilowane pliki Delphi i pliki wykonywalne systemu Windows.
Źródło: Kaspersky
Komentarze
5Niech ktoś mi to wytłumaczy:
1. Środowisko tylko na komputery stacjonarne?? (na laptopach nie ruszy;?)
2. środowisko dla... firm... buchachacha.. tworzymy nim firmy ??? ;)
Polska język, trudna język.. ;) Można sobie skomplikować dzień z rana ;)
Po pierwsze, wirus jest stary jak świat, żadna nowość.
Po drugie,właśnie z powodu swojej starości atakuje tylko Delphi od D4 do D7. Wtedy jeszcze nie było CodeGear...
A Kaspersky Lab też się obudziło... po tylu latach.
Przed wirusem można się bardzo łatwo obronić, umieszczjąc SysConst.bak w katalogi z SysConst.pas. Jeśli SysConst.bak istnieje to wirus już nie infekuje.
Poza infekowaniem wirus nie robi nic innego, jest niedestrukcyjny.
Jako ciekawostka: Słyszałem że Comarch przeprasza listownie klientów za wypuszczenie aplikacji z tym wirusem, jednocześnie twierdząc że oni z Delphi nie korzystają ;-)
Podsumowując, z takimi newsami to proszę od razu do archiwum!