業務部
卡巴斯基實驗室在 CodeGear Delphi 綜合軟體開發平台中偵測到 Virus.Win32.Induc.a 。而目前卡巴斯基實驗室的所有產品已經能保護使用者遠離免於感染。
Virus.Win32.Induc.a 充分地利用兩步驟機制在 Delphi 環境中建立可執行的文件。首先,來源代碼第一次在控制元件 (Delphi compiled unit) 中產生,之後再與 Windows 做連結,建立可執行文件。
當受感染的應用程式啟動的時候,新病毒也跟著運作。它會先確認是不是目前是否正在 Delphi 開發版本的 4.0 、 5.0 、 6.0 或 7.0 環境中運作。如果此軟體被 Virus.Win32.Induc.a 發現,它將會編譯 Delphi 的 Sysconst.pas 文件來源,而產生另一個修改後的編譯文件 Sysconst.dcu 。
幾乎所有的 Delphi 的方案都會使用「SysConst」,這意味著只有一個系統模塊的感染後,便會造成所有在開發中的應用程式跟著遭到感染。換句話說,修改 SysConst.dcu 文件導致接下來的程式都在受感染的環境中建立,包含新病毒的代碼;而修改後的檔案則不再被需要或被刪除。
這種病毒目前還不夠成威脅,除了感染之外,沒有其他的有效載荷。推測這最有可能是一種新病毒的示威或測試動作。但破壞性的載荷並未出現,大部分只是利用較熱門的即時通訊客戶端的快速特性 (QIP) 和經常有新版發佈的慣性。不過,控制元件檔案開發卻已經讓 Virus.Win32.Induc.a 散佈在世界各地,很可能在未來轉型並落入網路罪犯手中,使其更具破壞性。
卡巴斯基實驗室解決方案成功的偵測到 Virus.Win32.Induc.a,並已經提供針對 Delphi 的編彙文件和 Windows 的可執行文件的解決方案。