Kaspersky Lab: rilevato virus che infetta applicazioni create in Delphi

Kaspersky Lab annuncia il rilevamento di Virus.Win32.Induc.a, un nuovo virus che si diffonde attraverso CodeGear di Delphi, un ambiente di sviluppo per applicazioni Desktop e Enterprise.

Virus.Win32.Induc.a. infetta tutte le applicazioni create con CodeGear di Delphi. Il virus, comunque, non rappresenta oggi una vera e propria minaccia, quanto piuttosto un nuovo metodo di diffusione – il virus è infatti privo di “payload”, l’istruzione che permette a virus e worm di compiere azioni dannose sui computer infetti. Al momento, il virus sembra un test di nuove routine di infezione, ma è probabile che in futuro venga modificato dai cybercriminali per compiere attacchi veri e propri.

Virus.Win32.Induc.a sfrutta la possibilità di Delphi di creare file eseguibili in 2 passaggi. Il codice sorgente viene inizialmente compilato per creare dei file .dcu (Delphi compiled unit) intermedi, che vengono poi collegati per creare file Windows eseguibili. Il nuovo virus si attiva non appena viene lanciata un’applicazione infetta. A questo punto il virus controlla se sul computer è installata una delle versioni di Delphi (4.0, 5.0, 6.0 or 7.0). Se il software viene rilevato, Virus.Win32.Induc.a compila il file Delphi Sysconst.pas, producendo una versione modificata del file compilato Sysconst.dcu.

Praticamente tutti i progetti creati in Delphi, includono la linea “use SysConst”; l’infezione di anche un solo modulo dell’ambiente di sviluppo, produce quindi l’infezione di tutte le applicazioni in fase di sviluppo. In altre parole, il file modificato SysConst.dcu causa l’inserimento del virus in tutte le applicazioni create nell’ambiente di sviluppo infetto.

I prodotti Kaspersky Lab sono in grado di rilevare e bloccare Virus.Win32.Induc.a e di gestire sia i file Delphi compilati che i file Windows eseguibili.