Компания «Лаборатория Касперского» предупреждает о появившемся вирусе Virus.Win32.Induc.a, который распространяется через интегрированное программное обеспечение Code Gear Delphi.
По информации сайта cybersecurity.ru Virus.Win32.Induc.a в размножении пользуется механизмом двухшагового конструирования исполняемых файлов, который реализован в среде Delphi.
По этому механизму, исходный код разрабатываемых приложений
в начале компилируют в ряд промежуточных .dcu-модулей, а из них собирают исполняемые файлы под ОС Windows.
Активируется новый вирус во время запуска приложения, им зараженного, и
выполняет проверку, имеется ли на PC пакет Delphi версии 4.0-7.0. Если пакет обнаружен, вирус внедряет себя в структуру исходного файла базовых констант DelphiSysconst.pas, затем компилирует его. В итоге появляется аналогичный модифицированный компилированный файл под названием Sysconst.dcu.
Почти в каждом проекте Delphi имеется строчка “useSysConst”,
потому единственный зараженный системный модуль инфицирует все
разрабатываемые приложения. Таким образом, вследствие
модифицирования Sysconst.dcu, далее все программы, созданные в
зараженном поле, будут содержать вирусный код. Подвергнувшийся изменению pas-файл удаляется, поскольку больше вирусу не требуется.
На сегодня у вируса нет функций кроме собственно заражения, вероятно, он предназначается для тестирования и проведения демонстрации нового
направления заражения.
