Вирус Induc.a внедряется в приложения для Delphi на этапе разработки

"Лаборатория Касперского" обнаружила вредоносное ПО, которое в процессе размножения использует механизм двухшагового создания исполняемых файлов, реализованный в среде Delphi. Вирус получил название Induc.a.

Как отмечают в антивирусной компании, вредоносный софт активируется при запуске зараженного им приложения. Вирус, уже будучи в системе, проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. Если такой пакет обнаружен, Induc.a. компилирует его исходный файл базовых констант Delphi Sysconst.pas, при этом внедряя собственный код. Таким образом, вредоносное ПО генерирует модифицированный файл констант Sysconst.dcu.

Стоит отметить, что заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений, так как практически каждый проект Delphi включает строчку "use SysConst". В результате модификации Sysconst.dcu все программы, создаваемые в зараженной среде, содержат код нового вируса. При этом измененный pas-файл вирусу больше не удаляется.

Как отмечают в "Лаборатории Касперского", в существующем виде Induc.a не несет функциональной нагрузки, помимо самого заражения, и предназначен, прежде всего, для демонстрации самой возможности инфицирования приложений на этапе разработки.



Источник: DailyComm