Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Induc, innowacyjny infektor plików

Denis Nazarow
Kaspersky Lab Expert
Dodany 18 sierpnia 2009, 11:28 CEST

Niedawno do naszych baz dodaliśmy wykrywanie infektora plików, któremu nadaliśmy nazwę Virus.Win32.Induc.a. Od tego czasu otrzymaliśmy wiele pytań na jego temat. Obecnie Virus.Win32.Induc.a nie posiada szkodliwej funkcji i nie infekuje bezpośrednio plików .exe. Zamiast tego sprawdza, czy na komputerze ofiary jest zainstalowany Delphi, szukając wersji 4.0, 5.0, 6.0 i 7.0.

Jeżeli szkodnik znajdzie jedną z tych wersji Delphi, kopiuje SysConst.pas do \Lib i dopisuje do niego swój kod. Następnie wykonuje kopię zapasową SysConst.dcu, nadając jej nazwę SysConst.bak (pliki dcu są przechowywane w \Lib). Następnie kompiluje \Lib\SysConst.pas, dając zainfekowaną wersję SysConst.dcu. Zmodyfikowany plik .pas zostaje usunięty.

"uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', "

Wynik – każdy program stworzony w środowisku Delphi skompilowany na komputerze zostaje zainfekowany. (Skontaktowała się z nami firma uważająca, że wykryto u niej fałszywe trafienie). Być może ten konkretny wirus nie jest aż tak poważnym zagrożeniem: metoda rozprzestrzeniania jest nam dobrze znana, sam kod jest prymitywny, nie ma żadnej innej funkcji szkodliwej, a ponadto istnieją o wiele łatwiejsze sposoby infekowania maszyn. Jednak w przeszłości miały już miejsce przypadki, gdy nowe sposoby infekcji były podchwytywane przez innych, modyfikowane i dalej rozwijane. Dlatego będziemy mieli oko na ten infektor, na wszelki wypadek.