Новый вирус для среды Delphi

Компании – разработчики антивирусных средств сообщили о появлении нового вируса Win32/Induc.A, который инфицирует ПО, написанное в среде разработки CodeGear Delphi.

Для размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно этому механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы. Вирус активизируется при запуске зараженного им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. В результате модификации Sysconst.dcu в дальнейшем все программы, создаваемые в зараженной среде, будут содержать код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

Пока вирус Win32/Induc.A не обладает деструктивными функциями, он скорее предназначен для демонстрации и тестирования нового вектора заражений, однако его оригинальный и эффективный механизм распространения весьма интересен. Но отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан в сторону увеличения деструктивности.

Язык программирования Delphi применяется главным образом в отраслях с использованием обширных баз данных, например, в банковской сфере. В таких организациях Win32/Induc.A и получил наибольшее распространение.

Примечательно, что вирус также распространяется вместе с троянской программой Win32/Spy.Banker. По всей вероятности, создатели трояна сами стали жертвами таких же вирусописателей, и программа Win32/Spy.Banker была скомпилирована хакерами в среде Delphi на зараженных вирусом Win32/Induc.A компьютерах.