Win32.Induc: новые факты об интересном вирусе для программистов

24 августа 2009, 14:06

Как уже ранее сообщала редакция THG, в середине августа сначала «Лаборатория Касперского» забила тревогу: появился вирус, распространяющийся через интегрированную среду разработки программного обеспечения CodeGear Delphi. Затем компания ESET сообщила интересные факты о новом необычном вирусе. Теперь и компания «Доктор Веб» дополнила картину новыми сведениями.

Как сообщил российский разработчик средств информационной безопасности, этот вирус, получивший наименование Win32.Induc, активно распространялся в течение нескольких месяцев и не был заметен для пользователей в силу отсутствия вредоносного функционала. Учитывая огромное количество зараженных пользователей, а также потенциальную угрозу модификации этого вируса, мы имеем основания предполагать, что его безвредность обманчива.

Вирус Win32.Induc заражает один из файлов, использующихся при компиляции проектов в среде разработки Delphi, после чего все скомпилированные проекты становятся его распространителями. Вирус заражает только тех пользователей, у которых установлены версии Delphi с 4 по 7. Он модифицирует библиотеку SysConst.dcu, которая используется при сборке проектов. При компиляции любого Delphi-проекта, использующего модифицированную вирусом библиотеку, получается приложение, обладающее функциональностью оригинального вируса.

Единственное назначение этого вируса – дальнейшее саморазмножение, других функций не содержится. Антивирусные решения Dr.Web обнаруживают и предлагают лечение Win32.Induc, поскольку, несмотря на кажущуюся безобидность, он таит в себе очевидную опасность. Так как ознакомиться с исходными текстами этого вируса может любой желающий, применить технологии его размножения для распространения вредоносных программ с деструктивным функционалом смогут другие вирусописатели.

Многие популярные программы, разработанные в зараженной среде Delphi, стали носителями этого вируса и вызвали цепную реакцию распространения. Наличие зараженных файлов было обнаружено у сотен тысяч пользователей. Столь внушительные цифры объясняются тем, что Win32.Induc не привлекал внимание пользователей и не имел деструктивного функционала. Источником распространения вредоносной программы стали как популярные софт-порталы, так и компакт-диски, прилагающиеся к популярным компьютерным журналам.

Примечательно, что помимо легальных программ заражению подверглись и разработки вирусописателей. Так, нами были обнаружены вирусы (Trojan.PWS.Banker.30321, Trojan.DownLoad.44695 и др.), разработанные в среде Delphi и при этом зараженные Win32.Induc.

Этот вирус демонстрирует возможности распространения вредоносных программ, известные еще с эпохи DOS-вирусов. Подобные технологии были использованы в неопасном нерезидентном вирусе HLLP.BeginPas, который заражал исходные тексты программ на языке программирования Pascal. После того как нами был реализован алгоритм лечения, активность Win32.Induc значительно снизилась.

В свою очередь разработчик советует: если ваша система подверглась заражению, то всегда можно воспользоваться бесплатной лечащей утилитой Dr.Web CureIt. Также «Доктор Веб» заверяет, что для пользователей, защищенных антивирусными решениями Dr.Web, вирус Win32.Induc угрозы не представляет.