Аналитиками компании «ВирусБлокАда» был изучен вредоносный код, заражающий среду разработки Delphi, которому было присвоено имя Virus.Win32.Induc. Его характерной особенностью является механизм размножения, который был выбран автором данного вируса и который не использовался со времен DOS.
Попадая на компьютер пользователя, вирус ищет установленную на нем среду Delphi (версии 4-7). Если пакет обнаружен, происходит внедрение вредоносного кода в файл Sysconst.pas и его перекомпиляция. В результате получается инфицированный файл SysConst.dcu. Благодаря этому все проекты, скомпилированные в данной среде, получают в нагрузку вредоносное поведение и начинают точно также заражать Delphi на других компьютерах.
Аналитики предполагают, что данный вирус был написан только для тестирования механизма заражения, и кроме дальнейшего размножения никаких других действий он не производит. Благодаря этому вирус не был замечен ранее, хотя его распространение продолжается уже несколько месяцев. Так было выявлено заражение некоторых версий популярного интернет-пейджера QIP; программного обеспечения, прилагаемого к популярным компьютерным журналам и многое другое.
Детектирование данного вируса было своевременно добавлено в базы комплекса Vba32. В настоящее время это помогает обнаружить данный вирус на многих компьютерах пользователей в организациях и на предприятиях.
С недавнего времени вирус Virus.Win32.Induc стал распространяться c программным обеспечением, разработанным в Республике Беларусь. В связи с этим компания «ВирусБлокАда» хотела бы обратиться к разработчикам, использующим Delphi, с просьбой проверить свою среду разработки на наличие модифицированного файла SysConst.dcu. Это поможет избежать дальнейшего распространения вируса.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.