Wirus w CodeGear Delphi

Przeczytaj także: Dzień Zakochanych: robak Waledac w akcji

Virus.Win32.Induc.a. infekuje środowisko programistyczne Delphi. Eksperci informują, iż wszystkie aplikacje, które zostały stworzone przy pomocy zarażonego środowiska, zostaną zainfekowane i będą nieustannie powielać wirusa. Wirus nie stanowi obecnie zagrożenia - poza zarażaniem nie posiada żadnej szkodliwej funkcji. Został prawdopodobnie stworzony w celu zademonstrowania i przetestowania nowej procedury infekcji. Bardzo możliwe, że w przyszłości pomysł zostanie podchwycony przez cyberprzestępców, którzy zmodyfikują go w taki sposób, aby był bardziej destrukcyjny.

“Widzę duże możliwości ewolucji Virus.Win32.Induc.a. Trudno jednak powiedzieć, czy któryś z “poważnych” twórców szkodliwego oprogramowania pójdzie tą drogą. W końcu istnieją o wiele prostsze” – powiedział David Emm, starszy analityk regionalny z Kaspersky Lab UK.

Virus.Win32.Induc.a wykorzystuje dwustopniowy mechanizm stosowany w środowisku Delphi w celu tworzenia plików wykonywalnych. Najpierw kod źródłowy jest kompilowany, aby powstały pośrednie pliki .dcu, które są następnie łączone w celu stworzenia plików wykonywalnych systemu Windows. Nowy wirus aktywuje się w momencie uruchomienia zainfekowanej aplikacji. Następnie sprawdza, czy na komputerze są zainstalowane wersje 4.0, 5.0, 6.0 lub 7.0 środowiska programistycznego Delphi. Jeżeli takie oprogramowanie zostanie wykryte, Virus.Win32.Induc.a skompiluje plik źródłowy Delphi Sysconst.pas, tworząc zmodyfikowaną wersję skompilowanego pliku Sysconst.dcu.

Kaspersky Lab podaje, że praktycznie wszystkie projekty w Delphi zawierają wiersz “use SysConst”, co oznacza, że zainfekowanie jednego modułu systemu spowoduje infekcję wszystkich tworzonych aplikacji. Innymi słowy, zmodyfikowany plik SysConst.dcu powoduje, że wszystkie kolejne programy stworzone w zainfekowanym środowisku zawierają kod nowego wirusa.