Nytt virus går etter Delphi-utviklere

Programvare vil måtte kompileres på nytt.

Denne uken har det dukket opp et virus som anses som litt uvanlig. Det er rettet mot utviklermaskiner, nærmere bestemt miljøer hvor det lages programvare basert på Delphi.

Viruset, som kalles Win32/Induc.A, infiserer Delphi-biblioteker som tas med når Delphi-baserte programmer kompileres. Det skal ikke være mulig å fjerne viruset fra programvaren, uten å kompilere den på nytt etter at de infiserte bibliotekene har blitt erstattet.

Når programvare infisert med viruset kjøres på en Windows-maskin, vil Win32/Induc.A ifølge Microsoft kopiere source\rtl\sys\SysConst.pas til lib\SysConst.pas. Deretter legges det til ondsinnet kode i denne filen.

Deretter døper viruset om bibliotekfilen lib\SysConst.dcu til lib\SysConst.bak. Så startes Delphi-kompilatoren for å lage en ny kopi av SysConst.dcu med lib\sysConst.pas som kildekodefil. Til slutt slettes lib\SysConst.pas og den nykompilerte lib\Sysconst.dcu gis samme dato og tidspunkt som den originale kopien.

Viruset skal angivelig ikke gjøre noen skade utover dette, men programvare som inneholder viruset vil normalt bli stoppet av antivirus-programvare, uten at brukeren har noen mulighet til å få fjernet viruset før utgiveren av programvaren lager en virusfri versjon.

Til News.com sier Nick Bilogorskiy, sjef for antivirusforskningen ved Sonicwall, at viruset allerede har blitt oppdaget i to populære programmer, Any TV Free 2.41 og Tidy Favorites 4.1, som både ligger høyt oppe på nedlastingslistene og som har blitt distribuert på CD-er sammen med visse magasiner.

- Så mange som 30 prosent av utviklerne som bruker Delphi har dette, hevder Bilogorskiy.

Flere betraktninger om viruset finnes i dette blogginnlegget, skrevet av Richard Cohen ved SophosLabs Canada

Til toppen