Win32.Induc.A, sau cum să ajungi să scrii virusi
De ce Win32.Induc.A și nu alt virus? Simplu: este primul virus care atacă excusiv, direct, un mediu de programare, spre deosebire de restul file infectorilor care atacă direct fișierele executabile.
Este vorba de mediul de programare Delphi IDE, versiunile 4.0, 5.0, 6.0, 7.0. Deși mulți suntem tentați să ignorăm acest limbaj de programare, el este încă foarte răspândit, fiind utilizat mai ales în aplicații pentru baze de date, folosite în bănci și alte instituții ce procesează cantități enorme de date, instituții care deja au raportat infectări cu acest virus.
a apărut pe piață undeva prin luna aprilie a acestui an, dar nu i-a fost acordată foarte multa atenție
Interesant este faptul că deși acest virus a fost “mediatizat” mai tare abia spre sfârșitul lunii august, se pare că acesta a apărut pe piață undeva prin luna aprilie a acestui an, dar nu i-a fost acordată foarte multa atenție pentru că majoritatea dezvoltatorilor de programe în Delphi tratau această detecție ca pe o alarmă falsă, dar și deoarece codul fișierelor delphi este foarte voluminos, în timp ce virusul nu are mai mult de câteva linii de cod. Cum se răspândește? Asta e noutatea în sine.
virusul nu are mai mult de câteva linii de cod
Pornim de la un fișier delphi, infectat, pe care îl avem de pe internet, de la un prieten infectat și el, de pe un stick de la facultate, etc… la execuție, primul lucru pe care acesta îl face, e să verifice dacă pe sistem avem instalat mediul de programare Delhpi, una din versiunile specificate mai sus. În cazul în care avem instalat delphiul pe sistem, este creat un fișier SysConst.pas ce conține codul virusului în directorul /Lib din directorul în care avem instalat delphiul. Apoi face o copie pentru backup a fișierului SysConst.dcu din aceeași locație, cu extensia .bak. Compilează apoi fișieurl SysConst.pas și este generat un nou fișier SysConst.dcu ce înlocuiește originalul. După ce compilarea se termină cu succes, fișierul .pas este șters. Din acest moment, orice fișier pe care îl compilăm, va fi infectat chiar în momentul compilării.
pe lânga codul programului scris de noi, compilatorul va adăuga și codul virusului
Și cel mai probabil acesta era răspunsul la întrebarea: de ce tot detecteaza antivirusul aplicațiile pe care le scrii în delphi? Totuși, dacă rulăm un fișier delphi infectat cu virusul Induc, și nu avem pe calculator instalat limbajul de programare Delphi, nu suntem expuși la nici un fel de riscuri. Varianta prezenta acum pe “piață” nu este foarte virulentă, este mai mult un mod de a exploata o vulnerabilitate a unui mediu de dezvoltare de aplicații. Totuși, este foarte probabil ca în viitor, această vulnerabiltiate să fie exploatată într-un mod mult mai daunator pentru sistemele infectate.
Any TV Free 2.41 sau Tidy Favorites 4.1 au fost raportate ca fiind infectate
Cert este că acest file infector este foarte răspândit, chiar și programe comerciale răspândite pe internet. Any TV Free 2.41 sau Tidy Favorites 4.1 au fost raportate ca fiind infectate. Una din companiile de antiviruși de pe piață, a facut public faptul că în primele 24 de ore de dupa adaugarea detecției pentru acest file infector, au fost raportate peste 30000 de infecții unice.
30% din programatorii ce folosesc Delphi sunt infectați cu Induc
Pentru dezinfecție, scanați sistemul cu antivirusul pe care îl aveti instalat, în speranța că acesta are detecție pentru acest virus. Apoi, ștergeți fișierul SysConst.dcu din directorul /Lib din locația unde este instalat compilatorul de Delphi, după care redenumiți fișierul SysConst.bak din aceeași locație în fișierul SysConst.dcu.
Marius BARAT, anul III
marius.barat@asii.ro
