Másfél évig rejtőzött a vírus

A Windows-alapú Delphi fejlesztési környezetben terjed egy frissen felfedezett vírus: a Win32.Induc azt a fejlesztési környezetet fertőzi, amelyben például a Skype vagy a Total Commander is készül. A VIPRE vírusirtót fejlesztő Sunbelt Software szakemberei szerint, ha a számítógépen elindul egy Win32.Induc-cal fertőzött alkalmazás, akkor a vírus automatikusan megkeresi és csatolja magát a Delphi fejlesztőkörnyezethez, így ezt követően valamennyi, a Delphi által fordított szoftver fertőzötté válik.

„Ez a kártevő már jó ideje terjedhet szabadon és sokáig elkerülte az antivírus fejlesztők látókörét. Éppen ezért számos fertőzött alkalmazás lehet az interneten, az értékesített adathordozókon, CD/DVD mellékleteken, de akár előre telepítve új számítógépeken is.” – mondta Michael St. Neitzel, a Sunbelt Software kutatásért és fejlesztésért felelős alelnöke.

A vírus egyelőre nem végez semmilyen káros tevékenységet, nem rombol, nem gyűjt adatokat, mint a trójai programok, ugyanakkor komoly problémákat okozhat, hiszen az antivírus szoftverek valamennyi fertőzött alkalmazást karanténba helyezhetik.

„Komoly kihívás vár az antivírus-gyártókra és a Delphiben fejlesztő cégekre egyaránt. Nyitott kérdés marad, hogy a vírusvédelmek eltudják-e távolítani majd a Win32.Induc fertőzéseket az alkalmazásokból, vagy csak a törlés marad. Amennyiben nem sikerül eltávolítani, a fejlesztőknek először meg kell szabadulniuk a fertőzött Delphi fordítókörnyezetektől, majd újra kell fordítani az alkalmazásokat és eljuttatni a javított kódot a felhasználóikhoz. Ráadásul, ha egy adott alkalmazásból több verziót is fordítanak egyszerre, a Win32.Induc fertőzések eltávolítása igazi rémálommá válhat a fejlesztőcsapat számára.” – tette hozzá St. Neitzel.

Másfél éves
Az amerikai számítástechnikai portál, az SC Magazine szerint már több mint 3000 különböző fertőzött minta létezik. Más antivírus-fejlesztőkkel együtt a Sunbelt úgy gondolja, hogy a Win32.Induc nem új keletű vírus, egy ideje már szabadon fertőzi a gépeket, hiszen a minták alapján úgy tűnik, hogy a legelső fertőzések 2008 tavaszán történhettek. Ugyanakkor, mivel a vírus a fertőzésen kívül semmilyen más káros tevékenységet végzett, tovább tartott az azonosítása is.

Az újdonságot a vírus esetében az jelenti, hogy nem egy szoftvert, alkalmazást, hanem teljes fejlesztési környezetet vett célba. Ugyancsak meglepetés, hogy a vírus számos olyan, elsősorban banki adatokat gyűjtő trójai alkalmazást is megfertőzött, amelyek szintén Delphiben készültek. Ironikus módon az antivírusok számos olyan új kártevőt is azonosítottak, amelyek eddig ismeretlenek voltak a vírusirtók előtt, ám mivel tartalmazták a Win32.Induc-ot, felismerhetővé váltak.