jueves, 20 de agosto de 2009

Malware infecta código fuente de programas en el entorno de desarrollo Delphi

Investigadores han hallado un virus -bautizado W32/Induc-A- que afecta al popular entorno de desarrollo Delphi, en concreto en las versiones de la 4.0 a la 7.0. El ejemplar fue enviado a varias casas Antivirus por un testeador independiente, tras su análisis observaron que el malware no afectaba a los ejecutables sino que inyecta líneas de código al código fuente de los proyectos, produciendo al compilar un ejecutable infectado.

Delphi es un popular entorno de desarrollo creado originalmente por la empresa Borland. Se caracteriza por un desarrollo rápido de aplicaciones visuales y el uso del lenguaje Object Pascal.

Cuando el binario infecto detecta una versión de Delphi instalada busca el archivo fuente "SysConst.pas" y lo reemplaza por una versión maliciosa. Guarda una copia de "SysConst.dcu" y compila una nueva con el fuente anterior. Es entonces cuando el entorno de desarrollo está preparado para producir proyectos con una copia del virus por cada ejecutable compilado.

No posee carga alguna más allá de propagarse y como curiosidad han hallado bankers -troyanos especializados en capturas de datos bancarios- creados con Delphi que han sido infectados encontrándonos con malware infectados con malware y con ambos infectores funcionales.


David García
dgarcia@hispasec.com


Más información:

Win32/Induc.A (blog de Ontinet.com)
http://blogs.protegerse.com/laboratorio/?p=692

Win32/Induc.A (blog de ESET Latinamérica)
http://blogs.eset-la.com/laboratorio/2009/08/20/win32-induc-infecta-archivos-delphi/

Preguntas frecuentes sobre Induc
http://blogs.eset-la.com/laboratorio/2009/08/20/preguntas-frecuentes-sobre-induc/

Induc, the innovative file infector
http://www.viruslist.com/en/weblog?weblogid=208187826

W32/Induc-A virus being spread by Delphi software houses
http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/

Win32:Induc, new concept of file infector?
http://blog.avast.com/2009/08/19/win32induc-new-concept-of-file-infector/

No hay comentarios:

Publicar un comentario en la entrada