Virus.Win32.Induc.a – новый вирус для Delphi
18.08.2009 Баранова Светлана
Лаборатория Касперского обнаружила вирус Virus.Win32.Induc.a, распространяющийся через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".
Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.
Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.
Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.
Virus.Win32.Induc.a – новый вирус для Delphi
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Продукты "Лаборатории Касперского" успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.
Прочитать все комментарии (4)
Недавние комментарии:
BOB 19.08.2009 05:54
NOD32 v3 с сегодняшними базами нашел его в QIP.exe v8094 и убил насмерть (лечения даже не предлагалось)))
ответить на это сообщение
или войти
Логин
Пароль
регистрация забыли пароль?
Ваше имя:
Ray 19.08.2009 01:22
Последнее обновление баз Outpost Security от 19.08.2009 нашло его в квипе 8094, обновил до 8095 - пока тихо <<< Радостный >>> вот и обновляй после этого аську...<<< О-о-о-ой... >>>
ответить на это сообщение
вторник, 18 августа 2009 г.
Подписаться на:
Комментарии к сообщению (Atom)
induc.a был здесь
ОтветитьУдалитьвсе гадают, какова цель его и почему QIP лажает снова?
ОтветитьУдалить