Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Wirus Win32.Induc.a, atakujący środowisko programistyczne Delphi, powstał najprawdopodobniej w kwietniu br. Rozprzestrzeniał się, infekując stworzone w tym języku programy, w tym także... trojany. Dlaczego więc dopiero teraz go wykryto? - zapytuje Czytelnik Dziennika Internautów. Przekazaliśmy to pytanie producentom antywirusów.

W ubiegłym tygodniu Dziennik Internautów informował o nowym zagrożeniu czyhającym na użytkowników programujących w Delphi. Induc (znany też jako Induct) nie zawiera żadnych szkodliwych funkcji. Producenci oprogramowania antywirusowego przypuszczają, że wirus powstał w celu przetestowania nowej procedury infekcji. Szkodnik atakuje środowisko programistyczne, efektem tego jest zarażenie wszystkich tworzonych w nim aplikacji.

Co ciekawe, zostały nim zainfekowane niektóre konie trojańskie. Jeden z Czytelników Dziennika Internautów poprosił nas dowiedzieć się, w jaki sposób producenci rozwiązań zabezpieczających dokonały analizy trojana Win32/Spy.Banker w kwietniu br., że nie wykryto już wówczas takiej funkcjonalności. Czy oznacza to, że przeprowadzona analiza nie była dogłębna, tylko pobieżna - dodano sygnaturę do bazy i zapomniano o temacie?

Dziennik Internautów przekazał te wątpliwości trzem producentom antywirusów. Jako pierwszy odpowiedział Magnus Kalkuhl, analityk z Kaspersky Lab Europe:

Wirus Induc.a nie infekuje bezpośrednio innych plików wykonywalnych przeznaczonych dla systemów Windows, lecz atakuje systemy z zainstalowanym środowiskiem programistycznym Delphi. Oznacza to, że gdy użytkownik uruchomi program zainfekowany wirusem Induc.a na komputerze, na którym nie zainstalowano środowiska Delphi, nic się nie stanie - i taka sytuacja występuje na 99% komputerów z systemem Windows.

Jednak nawet gdy użytkownik programuje w Delphi i jego system jest zainfekowany, stworzone przez niego (również zarażone) programy będą działały całkowicie prawidłowo - żadne pliki nie będą usuwane i nic nie będzie wysyłane do internetu.

Podsumowując - wirus działa na bardzo małej grupie komputerów i w związku z tym, że nie wyrządza żadnych "oczywistych" szkód (z perspektywy użytkownika) nie było żadnych powodów, aby uznać skompilowane aplikacje za zarażone.

Nieco inaczej tłumaczą się eksperci z firmy ESET, którzy podkreślają, że zagrożenie od początku rozprzestrzeniało się w sieci jako hybryda konia trojańskiego Win32/Spy.Banker oraz wirusa Win32/Induc.A, skutecznie infekując niezabezpieczone komputery, również te, które służyły programistom do tworzenia nowych aplikacji pisanych w Delphi.

Jeśli programista nie korzystał z aplikacji antywirusowej i padł ofiarą wirusa, nieświadomie zarażał później kolejnych użytkowników. Ci z kolei podczas instalacji bardzo często byli ostrzegani przez programy antywirusowe o wykrytym zagrożeniu, ale ignorowali wskazania antywirusa, ponieważ wierzyli, że nowy, oryginalny program nie może być zainfekowany.

Przedstawiciel firmy ESET zapewnił, że użytkownicy oferowanych przez nią rozwiązań od początku byli chronieni zarówno przed Win32/Spy.Banker, jak i przed zawartym w nim Win32/Induc.A. Jedyną zmianą po odseparowaniu kodu wirusa od konia trojańskiego jest rozpoznawanie i nazywanie nie tylko Win32/Spy.Banker, ale również Win32/Induc.A - poinformował Krzysztof Kasperkiewicz.

Dziennik Internautów poprosił o komentarz także analityków firmy Sophos, która odnotowała infekcje ok. 3 tys. różnych programów. Prośba trafiła już do Graham Cluley'a, który na firmowym blogu zamieścił niedawno podcast omawiający interesującego nas wirusa (w języku angielskim). Zaraz po otrzymaniu odpowiedzi artykuł zostanie zaktualizowany.

Przy okazji warto odnotować, że nie jest to pierwszy wirus tego typu. Jak podają eksperci z firmy Doctor Web, podobnie - tyle że dekadę wcześniej - działał HLLP.BeginPas, który zarażał kod źródłowy pisany w Pascalu.

Aktualizacja

Graham Cluley poinformował redakcję Dziennika Internautów, że firma Sophos rzeczywiście kilka miesięcy temu otrzymała próbki trojanów bankowych, zainfekowanych wirusem Induc-A. Ponieważ oprogramowanie tej firmy prawidłowo identyfikowało złośliwe pliki i chroniło przed nimi, nie istniała potrzeba przeprowadzania dodatkowej analizy.

Dopiero później, gdy do laboratoriów Sophos trafiły nieszkodliwe pliki, zarażone opisywanym wirusem, Induc-A został zidentyfikowany i firma zapewniła odpowiednią ochronę przed tym zagrożeniem.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl