info utiles - BitDefender découvre Win32.Induc.A, un virus menaçant les compilateurs Delphi - Sécurité

Sécurité : BitDefender découvre Win32.Induc.A, un virus menaçant les compilateurs Delphi

Posté par JerryG le 2/9/2009 0:00:00 Articles du même auteur

Le virus, appelé Win32.Induc.A, se diffuse en infectant des systèmes sur lesquels le compilateur Delphi (jusqu'à la version 7.0) est installé

BitDefender® a annoncé aujourd'hui la découverte d'une menace affectant directement de nombreuses applications, parmi lesquelles TabBrowser v1.0, GreenOpen, WebMoney Keeper Classic v3.7.0.0, Tidy Favorites v4.1 et Any TV Free v2.41.

Le ou les auteurs du virus sont parvenus à insérer le code du virus directement dans ces applications qui ont été distribuées déjà infectées.

Le virus, Win32.Induc.A, se diffuse en infectant des systèmes sur lequel le compilateur Delphi (jusqu'à la version 7.0) est installé. Tous les programmes qui sont compilés par la suite via le compilateur corrompu contiennent le code du virus.

Bien que ce virus ne dépose aucune charge utile et ne réalise aucune action malveillante à part l'auto-réplication, le fait qu'il ait infecté des packages d'installation révèle un mode d'infection inhabituel, particulièrement efficace, qui fait craindre son utilisation à des fins malveillantes à l'avenir.

Une fois exécuté, le virus recherche certaines versions du compilateur Delphi et, s'il les trouve, crée un fichier SysConst.pas, à l'intérieur du dossier \Lib du compilateur. Il y écrit son code, puis renomme « SysConst.dcu » qu'il appelle « SysConst.bak. ».

Le fichier .pas est ensuite compilé, puis supprimé. Le fichier SysConst.dcu qui en résulte est utilisé par le compilateur à chaque compilation, qui crée ainsi des exécutables infectés de façon automatique, en insérant le code malveillant à l'intérieur de SysConst.dcu.

Il est intéressant de noter que le virus n'a pas infecté que des applications légitimes : les spécialistes des Laboratoires antivirus de BitDefender ont en effet découvert que de nombreux malwares de la « famille » de Trojan.Banker avaient été infectés par Win32.Induc.A.

Détectés par BitDefender sous les noms de « Trojan.Downloader.JMGZ », « Trojan.Spy.Banker.ABWA » – « ABWC », « Trojan.Spy.Banker.ABWK » , « ABWQ », etc, ces chevaux de Troie s'attaquent à des banques locales : à la Caixa, la plus grande caisse d'épargne espagnole et à Bradesco, une grande banque du Brésil.

Il est recommandé aux développeurs Delphi de regarder si le dossier \Lib de leur compilateur contient un fichier SysConst.bak (le signe le plus évident de l'infection) et, si c'est le cas, de le renommer « SysConst.pas », en écrasant le fichier corrompu, avant de recompiler leurs applications.

Note: 0.00 (0 votes) - Noter cet article -

Article précédent - Article suivant

Créer un fichier PDF à partir de cet article

Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.