12 августа 2011 г.

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о появлении новой угрозы, добавленной в вирусные базы под именем Win32.Induc.2. Этот троянец заражает среду разработки Delphi таким образом, что все созданные с ее помощью приложения оказываются инфицированными вредоносным ПО. Основное отличие Win32.Induc.2 от Win32.Induc заключается в том, что новая версия троянца несет в себе функциональную нагрузку, а не просто способна создавать собственные копии.

Win32.Induc.2 написан на языке Delphi. Троянец прописывает ярлык своего исполняемого файла в стандартной папке автозагрузки Windows под именем APMV и снабжает его случайным ярлыком. Стартовав при следующем запуске операционной системы, Win32.Induc.2 выполняет поиск папки, в которую установлена среда разработки Delphi, записывает копию самого себя в файл defines.inc и модифицирует файл sysinit.pas таким образом, что при запуске инфицированной программы троянец сохраняется в файле с именем ~.exe и запускается на выполнение.

Затем Win32.Induc.2 осуществляет пересборку модуля sysinit, вслед за чем возвращает содержимое папки Source в исходное состояние с целью затруднить определение присутствия вредоносной программы в системе. Полученный в результате компиляции dcu-файл троянец помещает в папку /lib, что приводит к заражению всех создаваемых пользователем Delphi программ.

Троянец пытается отыскать и заразить все копии среды разработки Delphi, расположенные на дисках инфицированного компьютера. Одновременно с этим Win32.Induc.2 осуществляет мониторинг запущенных процессов и автоматически завершается, если пользователь пытается открыть окно Диспетчера задач.

Как уже упоминалось, данная модификация троянца несет определенную функциональную нагрузку, которая реализована весьма любопытным образом. Во вредоносном файле «зашито» несколько URL, ссылающихся на «аватарки» пользователей ряда интернет-форумов. Внутри самих «аватарок», в свою очередь, скрыта закодированная строка, содержащая другой URL, по которому троянец скачивает с удаленного узла зашифрованный exe-файл. Таким образом, в Win32.Induc.2 реализована функция загрузки и запуска исполняемых файлов, способных нанести вред операционной системе.

Сигнатура троянца Win32.Induc.2 уже добавлена в вирусные базы Dr.Web, а сама вредоносная программа удаляется при сканировании дисков компьютера. Специалисты компании «Доктор Веб» еще раз обращают внимание пользователей на необходимость использовать обновленное антивирусное ПО и проводить регулярную проверку системы на наличие новых угроз.