Сегодня наконец-то антивирусы обратили внимания на новый вирус для Делфи, уже несколько лет "гуляющий" по Интернету. Вирус получил название Virus.Win32.Induc.a. Основной способ распространения вируса - через интегрированную среду разработки программного обеспечения CodeGear Delphi.
По словам экспертов, для своего размножения Virus.Win32.Induc.a использует механизм двухшагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.
Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.
Примечательно, что практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.
По словам представителей "Лаборатории Касперского", в настоящее время вирус не несет функциональной нагрузки помимо самого заражения и скорее предназначен для демонстрации и тестирования нового вектора заражений. Вместе с тем, отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Эксперты не исключают, что в будущем вирус может быть доработан киберпреступниками в сторону увеличения степени его деструктивности.
Источник: @Astera
|
