Richard Cohen, uno de los analistas de SophoLabs, publico ayer una nota acerca de un malware curioso diseñado para infectar aplicaciones escritas en Delphi. El virus W32/Induc-A se inserta a si mismo en el código fuente de cualquier programa de Delphi que se encuentre en la maquina infectada y después se compila a si mismo a un ejecutable. Ademas, irónicamente, hemos encontrado varios Troyanos de banca (a menudo escritos en Delphi) infectados con el virus Induc-A. Fuentes : http://tinyurl.com/nbt3vz - http://tinyurl.com/n89e4p
(que en lugar de mutar como los antiguos polimórficos, infecten entornos de desarrollo y para ello incluyan código fuente de alto nivel para futuras recompilaciones)
Me resulta gracioso, independientemente de la ironía de los Troyanos de banca.
Es el primero que conozco. Yo lo tenia, y aun no se de donde salio.
Antes de que mi antivirus me avisara, me aviso un cliente, diciendo que la ultima version del programa que le habia actualizado salia "positiva".
De hecho, el articulo no es correcto. El procedimiento del virus es el siguiente:
- Delphi guarda ficheros precompilados y listos para enlazar (*.dcu) de todas las "unit" o modulos de la libreria VCL.
- El virus renombra uno de ellos (sysconst.dcu a sysconst.bak)
- Luego copia el codigo fuente de la unit (sysconst.pas) al directorio donde estan las unit precompiladas, y modifica ese fuente.
- Al compilar una aplicacion, el compilador recompila automaticamente el fichero fuente al no encontrar el mismo compilado, y lo enlaza en el ejecutable final.
O sea que no se inyecta en codigo fuente de la aplicacion sino de las librerias de Delphi, ni se compila a si mismo sino que es compilado junto al programa.
Tampoco parece que haga nada malo en particular, dejando de lado auto-reproducirse
Hize pruebas y si tienes las librerias originales en el library path del Delphi y fuerzas que se recompile todo, no hay virus.
[..]
The virus affects Delphi versions 4.0, 5.0, 6.0 and 7.0. After making a backup which it names SysConst.bak, it overwrites the Delphi file SysConst.dcu with a self-compiled version. Since the infected file is loaded whenever Delphi programs are compiled, all programs generated after this point will be infected.
[..]
Comentarios
Hay mas virus de este tipo?
(que en lugar de mutar como los antiguos polimórficos, infecten entornos de desarrollo y para ello incluyan código fuente de alto nivel para futuras recompilaciones)
Me resulta gracioso, independientemente de la ironía de los Troyanos de banca.
Es el primero que conozco. Yo lo tenia, y aun no se de donde salio.
Antes de que mi antivirus me avisara, me aviso un cliente, diciendo que la ultima version del programa que le habia actualizado salia "positiva".
De hecho, el articulo no es correcto. El procedimiento del virus es el siguiente:
- Delphi guarda ficheros precompilados y listos para enlazar (*.dcu) de todas las "unit" o modulos de la libreria VCL.
- El virus renombra uno de ellos (sysconst.dcu a sysconst.bak)
- Luego copia el codigo fuente de la unit (sysconst.pas) al directorio donde estan las unit precompiladas, y modifica ese fuente.
- Al compilar una aplicacion, el compilador recompila automaticamente el fichero fuente al no encontrar el mismo compilado, y lo enlaza en el ejecutable final.
O sea que no se inyecta en codigo fuente de la aplicacion sino de las librerias de Delphi, ni se compila a si mismo sino que es compilado junto al programa.
Tampoco parece que haga nada malo en particular, dejando de lado auto-reproducirse
Hize pruebas y si tienes las librerias originales en el library path del Delphi y fuerzas que se recompile todo, no hay virus.
#2
[..]
The virus affects Delphi versions 4.0, 5.0, 6.0 and 7.0. After making a backup which it names SysConst.bak, it overwrites the Delphi file SysConst.dcu with a self-compiled version. Since the infected file is loaded whenever Delphi programs are compiled, all programs generated after this point will be infected.
[..]
http://www.h-online.com/security/Virus-infects-development-environment--/news/114031