Wirus w kompilatorze Delphi

21-08-2009, 12:05

Programy pisane w języku Delphi znalazły się na celowniku nowego zagrożenia - wirusa Win32.Induc.a, który rozprzestrzenia się w nietypowy sposób, atakując środowisko programistyczne umożliwiające tworzenie aplikacji bazodanowych.

Induc (przez niektórych producentów rozwiązań antywirusowych określany jako Induct) wykorzystuje dwustopniowy mechanizm stosowany w środowisku Delphi do tworzenia plików wykonywalnych. Najpierw kod źródłowy jest kompilowany, aby powstały pośrednie pliki .dcu, które są następnie łączone w celu utworzenia plików wykonywalnych systemu Windows.

Schemat infekcji wirusem Win32/Induct.A
fot. ESET - Schemat infekcji wirusem Win32/Induct.A
Nowy wirus aktywuje się w momencie uruchomienia zainfekowanej aplikacji. Następnie sprawdza, czy na komputerze są zainstalowane wersje 4.0, 5.0, 6.0 lub 7.0 środowiska programistycznego CodeGear Delphi. Jeśli wykryje takie oprogramowanie, to kompiluje plik źródłowy biblioteki Delphi Sysconst.pas, tworząc jego zmodyfikowaną wersję Sysconst.dcu.

Praktycznie wszystkie projekty w Delphi zawierają wiersz use SysConst, co oznacza, że zainfekowanie jednego modułu powoduje zarażenie wszystkich tworzonych aplikacji. Inaczej mówiąc, zmodyfikowany plik SysConst.dcu sprawia, że wszystkie kolejne programy tworzone w zainfekowanym środowisku zawierają kod nowego wirusa.

Analitycy Kaspersky Lab twierdzą, że Induc nie posiada żadnych szkodliwych funkcji i powstał prawdopodobnie w celu zademonstrowania i przetestowania nowej procedury infekcji.

Możliwe, że w przyszłości pomysł zostanie podchwycony przez cyberprzestępców, którzy zmodyfikują wirusa tak, by był bardziej destrukcyjny. Trudno jednak powiedzieć, czy któryś z "poważnych" twórców szkodliwego oprogramowania pójdzie tą drogą. W końcu istnieją o wiele prostsze - komentuje David Emm, starszy analityk regionalny z Kaspersky Lab UK.

Według ekspertów firmy ESET wirus powstał w kwietniu bieżącego roku jako fragment złośliwego kodu doklejającego się do różnego typu koni trojańskich, najczęściej do zagrożenia rozpoznawanego jako Win32/Spy.Banker, które wykrada dane dostępu do różnych systemów płatności online, internetowych serwisów bankowych itp. Informację tę potwierdza na swoim blogu Graham Cluley, pracownik Sophos.

Firmy przygotowujące oprogramowanie w języku Delphi nie były świadome infekcji aż do bieżącego tygodnia, kiedy to producenci rozwiązań antywirusowych wykryli i wyodrębnili szkodnika. Zatem od kwietnia aż do teraz niektórzy producenci aplikacji nieświadomie dostarczali na rynek programy zainfekowane wirusem. Do środy Sophos odnotował infekcje ok. 3 tys. różnych programów.

Spośród polskich firm problem dotknął Cream Software, producenta Pajączka - aplikacji wspomagającej tworzenie stron internetowych. Jak na firmowym blogu informuje Rafał Płatek, udostępniono już na nowo skompilowaną wersję oprogramowania. W ramach rekompensaty każdej osobie, która ucierpiała z powodu infekcji, firma zaoferowała 15-proc. zniżkę (dostępną do końca września) na zakup dowolnego programu Cream Software.


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2021»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728293031