Delphiコンパイラに感染し正規アプリケーションに影響するWin32.Induc.Aを発見

このWin32.Induc.AウィルスはDelphiコンパイラがインストールされたシステムを介して感染を拡大しています

2009年8月27日(本国発表8月20日)

  • 感染拡大: 高
  • ダメージ: 低
  • サイズ: 不定
  • 発見: 2009年8月19日

 8月19日、BitDefender研究所は、多くの正規アプリケーションに侵入しているウィルスを発見しました。 影響を受けているアプリケーションは、TabBrowser v1.0, GreenOpen, WebMoney Keeper Classic v3.7.0.0, Tidy Favorites v4.1、TV Free v2.41のほか、非常に多く、 すでにウィルスが埋め込まれた状態で市場に出回っています。

 このウィルスWin32.Induc.Aは、Delphiコンパイラがインストールされたシステムを介して感染を拡大します。 このコンパイラで生成された以降全てのプログラムはこのウィルスコードを持っています。 このウィルスは現時点では自己増殖の他は、破壊ファイルの展開など悪意をもった処理は行いませんが、 正規のインストーラーパッケージを介してウィルスが拡散しているということは、極めて異常な感染傾向であり、 最終的に、不正目的に使用されるのではないかという恐れが、現在高まっています。

 このウィルスは実行されるとレジストリKKLM\SOFTWARE\Borland\Delphi\があるかチェックし、 ある場合には、Delphiのインストール先を取得して、有効なバージョン(4~7)のDelphiコンパイラを探し、 みつけると%Delphi_Installation_Folder%\Source\Rtl\Sys\SysConst.pasファイルを、 %Delphi_Installation_Folder%\Lib\SysConst.pasにコピーします。 そしてこのコピーしたファイルに悪意のあるコードを追加し、 既存のSysConst.dcuをSysConst.bakにリネーム、 この.pasファイルをコンパイルして、自身を削除しますが、 この時生成されたSysConst.dcuはコンパイラによって、コンパイル時に毎回使用されます。 この結果、作成されるアプリケーションは、全てSysConst.dcu内部にある悪意のあるコードを含んだものとなります。

 この感染事例の中で興味深いのは、正規のアプリケーションだけが感染していたのではない点です。 BitDefenderのアンチウィルス研究員達は、Trojan.Banker マルウェア系の一部にもこのWin32.Induc.Aが 感染していることを発見しました。

 BitDefenderが検出した Trojan.Downloader.JMGZ, Trojan.Spy.Banker.ABWA – ABWC, Trojan.Spy.Banker.ABWK – ABWQ などのトロイの木馬は、地方銀行、スペイン最大の銀行、ブラジルの銀行 などをターゲットにしていました。

 Delphi の開発者はコンパイラ \Lib フォルダ内に SysConst.bak ファイルがないかチェックしてください。 ある場合には、感染していることを示しています。このファイルをSysConst.dcu にリネームして、 再度アプリケーションをコンパイルしなおしてください。

 BitDefender製品で検出、駆除してください。 %Delphi_Installation_Folder%\Lib\sysconst.bakで、%Delphi_Installation_Folder%\Lib\sysconst.dcu ファイルを上書きします。

©   2011 BITDEFENDER 販売元 | サイトについてのお問い合わせ | プライバシーポリシー | グローバルサイト