20 sierpnia 2009

Kaspersky Lab informuje o wykryciu wirusa infekującego aplikacje stworzone w Delphi

Virus.Win32.Induc.a. wykorzystuje nową procedurę infekcji w celu rozprzestrzeniania się

Kaspersky Lab informuje o wykryciu szkodnika o nazwie Virus.Win32.Induc.a. Wirus ten rozprzestrzenia się poprzez CodeGear Delphi, środowisko programistyczne umożliwiające tworzenie bazodanowych aplikacji dla komputerów stacjonarnych i firm oraz aplikacji sieciowych. Wszystkie produkty firmy Kaspersky Lab zapewniają ochronę przed tym najnowszym zagrożeniem.

Virus.Win32.Induc.a. infekuje środowisko programistyczne Delphi. Wszystkie aplikacje, które zostały stworzone przy pomocy zarażonego środowiska, zostaną zainfekowane i będą nieustannie powielać wirusa. Wirus nie stanowi obecnie zagrożenia - poza zarażaniem nie posiada żadnej szkodliwej funkcji. Został prawdopodobnie stworzony w celu zademonstrowania i przetestowania nowej procedury infekcji. Bardzo możliwe, że w przyszłości pomysł zostanie podchwycony przez cyberprzestępców, którzy zmodyfikują go w taki sposób, aby był bardziej destrukcyjny.

"Widzę duże możliwości ewolucji Virus.Win32.Induc.a. Trudno jednak powiedzieć, czy któryś z "poważnych" twórców szkodliwego oprogramowania pójdzie tą drogą. W końcu istnieją o wiele prostsze" - powiedział David Emm, starszy analityk regionalny z Kaspersky Lab UK.

Virus.Win32.Induc.a wykorzystuje dwustopniowy mechanizm stosowany w środowisku Delphi w celu tworzenia plików wykonywalnych. Najpierw kod źródłowy jest kompilowany, aby powstały pośrednie pliki .dcu, które są następnie łączone w celu stworzenia plików wykonywalnych systemu Windows. Nowy wirus aktywuje się w momencie uruchomienia zainfekowanej aplikacji. Następnie sprawdza, czy na komputerze są zainstalowane wersje 4.0, 5.0, 6.0 lub 7.0 środowiska programistycznego Delphi. Jeżeli takie oprogramowanie zostanie wykryte, Virus.Win32.Induc.a skompiluje plik źródłowy Delphi Sysconst.pas, tworząc zmodyfikowaną wersję skompilowanego pliku Sysconst.dcu.

Praktycznie wszystkie projekty w Delphi zawierają wiersz "use SysConst", co oznacza, że zainfekowanie jednego modułu systemu spowoduje infekcję wszystkich tworzonych aplikacji. Innymi słowy, zmodyfikowany plik SysConst.dcu powoduje, że wszystkie kolejne programy stworzone w zainfekowanym środowisku zawierają kod nowego wirusa.

Rozwiązania firmy Kaspersky Lab skutecznie wykrywają wirusa Virus.Win32.Induc.a oraz leczą skompilowane pliki Delphi i pliki wykonywalne systemu Windows.