Форум АНТИЧАТ - Virus.Win32.Induc.a – новый вирус для Delphi

Впервые обнаружен: 15 August 2009, 09:39 MSK
[Kaspersky Lab.]

Virus.Win32.Induc.a заражает Delphi-приложения на этапе разработки

уровень опасности: нулевая. В данной версии он только распространяется, боевая нагрузка модуля отсутвтвует

уровень распространения: максимально высокий - ты это читаешь? - ты тоже заражен! :D
[по данным http://www.sophos.com/]

"Лаборатория Касперского" сообщила о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".
(коммент.1: заражается любая дельфа, начиная с четверки. E.Neo)
(коммент.2: статья - ПиАр каспера. Моя бесплатная авира, например, его тоже очень даже хорошо детектит и делит. E.Neo)

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске зараженного им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0.
(коммент.: более новые версии тоже заражает, вполть до КодГиар'09, хз кто изначально писал этот текст. E.Neo)
В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.

--------------------------------------------
от меня:
это был копипаст текста, распространенного в сети сейчас на каждом втором сайте, потому копирайты не указываю.
По факту - заражены этим зверем практически все виндузятники, кто хотя бы отдаленно имеет дело с софтом, написанным на делфи.
Ну а вобще, понимая, с какой легкостью автор этого чуда сможет его переделать так, чтобы оно снова перестало палиться.... :o
в общем эпилог - виндоуз это печально :'(