Kaspersky ha annunciato il rilevamento di Virus.Win32.Induc.a, un nuovo virus che si diffonde attraverso CodeGear di Delphi, un ambiente di sviluppo per applicazioni Desktop e Enterprise. Tutti i prodotti Kaspersky Lab sono in grado di rilevare e bloccare il virus.
Virus.Win32.Induc.a. infetta tutte le applicazioni create con CodeGear di Delphi. Il virus, comunque, non rappresenta oggi una vera e propria minaccia, quanto piuttosto un nuovo metodo di diffusione – il virus è infatti privo di “payload”, l’istruzione che permette a virus e worm di compiere azioni dannose sui computer infetti.
Al momento, il virus sembra un test di nuove routine di infezione, ma è probabile che in futuro venga modificato dai cybercriminali per compiere attacchi veri e propri.
“Virus.Win32.Induc.a. ha grandi opportunità di sviluppo, al momento è però difficile dire con certezza se, e quando, qualcuno lo modificherà per renderlo in grado di compiere azioni dannose” è il commento di David Emm, Senior Regional Researcher di Kaspersky Lab UK.
Virus.Win32.Induc.a sfrutta la possibilità di Delphi di creare file eseguibili in 2 passaggi. Il codice sorgente viene inizialmente compilato per creare dei file .dcu (Delphi compiled unit) intermedi, che vengono poi collegati per creare file Windows eseguibili.
Il nuovo virus si attiva non appena viene lanciata un’applicazione infetta. A questo punto il virus controlla se sul computer è installata una delle versioni di Delphi (4.0, 5.0, 6.0 or 7.0). Se il software viene rilevato, Virus.Win32.Induc.a compila il file Delphi Sysconst.pas, producendo una versione modificata del file compilato Sysconst.dcu.
Praticamente tutti i progetti creati in Delphi, includono la linea “use SysConst”; l’infezione di anche un solo modulo dell’ambiente di sviluppo, produce quindi l’infezione di tutte le applicazioni in fase di sviluppo. In altre parole, il file modificato SysConst.dcu causa l’inserimento del virus in tutte le applicazioni create nell’ambiente di sviluppo infetto.
I prodotti Kaspersky Lab sono in grado di rilevare e bloccare Virus.Win32.Induc.a e di gestire sia i file Delphi compilati che i file Windows eseguibili.
