Uus viirus nakatab Delphi-rakendusi arendusetapil

KasperskyKaspersky Lab teatas tarkvarapaketti CodeGear Delphi integreeritud arenduskeskkonna kaudu leviva viiruse Virus.Win32.Induc.a ilmumisest.

Virus.Win32.Induc.a kasutab paljunemiseks Delphi-keskkonnas realiseeritud täitefailide kahesammulist loomismehhanismi. Vastavalt sellele mehhanismile kompileeritakse arendatavate rakenduste lähtekood algul vahepealsetesse .dcu-moodulitesse, millest seejärel pannakse kokku Windowsis käivitatavad failid.

Uus viirus aktiveerub tema poolt nakatatud rakenduse käivitusel ja kontrollib, kas arvutisse on paigaldatud Delphi arenduskeskkonna paketi versioon 4.0-7.0. Paketi tuvastusel juurutatakse Virus.Win32.induc.a baaskonstantide lähtefaili Delphi Sysconst.pas ja kompileeritakse see ning selle tulemusel saadakse baaskonstantide modifitseeritud kompileeritud fail Sysconst.dcu.

Tegelikult on igas Delphi-projektis rida "use SysConst", seepärast nakatab üks nakatatud süsteemimoodul kõiki arendatavaid rakendusi. See põhjustab selle, et faili Sysconst.dcu modifitseerimisel on edaspidi kõikides nakatatud keskkonnas loodud programmides uue viiruse kood. Muudetud pas-faili viirus enam ei vaja ja eemaldab selle.

Käesoleval ajal pole viirusel peale nakatumise mingeid muid funktsioone, ta on pigem mõeldud uue nakatumissuuna demonstreerimiseks ja testimiseks. Märgatava ja destruktiivse funktsionaalsuse puudumine, populaarse internetisuhtlusprogrammi QIP mõnede versioonide nakatamine uue viirusega ning tavaline praktika, mil arendajad avaldavad .dcu-mooduleid, põhjustas juba viiruse Virus.Win32.Induc.a laia leviku maailmas. Täiesti võimalik, et küberkurjategijad võivad tulevikus tõsta selle kahjurprogrammi destruktiivsust.


Allikas: 3DNews


Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.
  • Ühtegi kommentaari ei leitud