Обнаружен вирус, заражающий Delphi-приложения на этапе разработки
Обнаружен вирус, заражающий Delphi-приложения на этапе разработки
19 августа 2009 г
«Лаборатория Касперского» сообщает о появлении вируса Virus.Win32.Induc.a, распространяющегося через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах «Лаборатории Касперского».
Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, действительно исходный код разрабатываемых приложений на самом деле сначала компилируется в более менее промежуточные .dcu-модули, из которых тем более затем собираются исполняемые в Windows файлы.
Как нельзя более новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0−7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в необыкновенно исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.
Что и говорить практически каждый проект Delphi включает строчку «use SysConst», по-моему поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Действительно изменённый pas-файл вирусу больше не нужен и удаляется.
В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, взаправду скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также сильно обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Более вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.
Продукты «Лаборатории Касперского» разительно успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.